js中解析json時候的eval和$.parseJSON()的區別以及JSON.stringify()

標籤：木馬   操作   json格式   .net   目的   res   方法   ase   ref   

1.第一個區別是：安全性

      json格式非常受歡迎，而解析json的方式通常用JSON.parse()但是eval()方法也可以解析，這兩者之間有什麼區別呢？
      JSON.parse()之可以解析json格式的資料，並且會對要解析的字串進行格式檢查，如果格式不正確則不進行解析，而eval()則可以解析任何字串，eval是不安全的

    如：

var str = ‘alert(1000.toString())‘;  eval(str);  JSON.parse(str); 

　　 用eval可以解析，並且會彈出對話方塊，而用JSON.parse()則解析不了。 其實alert並沒有什麼壞處，可怕的是如果用惡意使用者在json字串中注入了向頁面插入木馬連結的指令碼，用eval也是可以操作的，而用JSON.parse()則不必擔心這個問題。
   注意：某些低級的瀏覽器尚不支援JSON.parse()

 

 

2.第二個區別：JSON.parse()解析的必須是json格式的字串要不報錯，而eval()則沒有這麼嚴格

   在這裡“json格式的字串”是指要求指定的字串必須符合嚴格的JSON格式，例如：屬性名稱必須加雙引號、字串值也必須用雙引號。
   如果傳入一個格式不"完好"的JSON字串將拋出一個js異常

    json的解析方法共有兩種：eval 和 JSON.parse()，如：

var jsonStr= ‘{"name":"lulu", "sex":"female"}‘;  var evalJson=eval(‘(‘+jsonStr+‘)‘);  var jsonParseJson=JSON.parse(jsonStr);  

　　這樣就把json格式的字串jsonStr轉換成了JSON對象。

 

但是區別是：

var age = 27;  var jsonStr= ‘{"name":"lulu", "sex":"female","age":++age}‘;  var evalJson=eval(‘(‘+jsonStr+‘)‘); //不報錯此時age的值是28  var jsonParseJson=JSON.parse(jsonStr);//報錯  

　　

從上面eval()函數的用法我們可以看出eval()函數在解析json格式的字串時要加上圓括弧如eval(‘(‘+jsonStr+‘)‘),這是因為：

     eval本身的問題。 由於json是以”{}”的方式來開始以及結束的，在JS中，它會被當成一個語句塊來處理，所以必須強制性的將它轉換成一種運算式。
加上圓括弧的目的是迫使eval函數在處理JavaScript代碼的時候強制將括弧內的運算式（expression）轉化為對象，而不是作為語句（statement）來執行。舉一個例子，例如對象字面量{}，如若不加外層的括弧，那麼eval會將大括弧識別為JavaScript代碼塊的開始和結束標記，那麼{}將會被認為是執行了一句空語句。

 

 

 

 

JSON.stringify()   JSON.stringify()是把json資料轉化成json格式的字串如：

var jsonObj = {"name":"lulu","sex":"female"};  var jsonStr = JSON.stringify(jsonObj);

　　

結果是：

 

   ‘{"name":"lulu", "sex":"female"}‘

js中解析json時候的eval和$.parseJSON()的區別以及JSON.stringify()