標籤:木馬 操作 json格式 .net 目的 res 方法 ase ref
1.第一個區別是:安全性
json格式非常受歡迎,而解析json的方式通常用JSON.parse()但是eval()方法也可以解析,這兩者之間有什麼區別呢?
JSON.parse()之可以解析json格式的資料,並且會對要解析的字串進行格式檢查,如果格式不正確則不進行解析,而eval()則可以解析任何字串,eval是不安全的
如:
var str = ‘alert(1000.toString())‘; eval(str); JSON.parse(str);
用eval可以解析,並且會彈出對話方塊,而用JSON.parse()則解析不了。 其實alert並沒有什麼壞處,可怕的是如果用惡意使用者在json字串中注入了向頁面插入木馬連結的指令碼,用eval也是可以操作的,而用JSON.parse()則不必擔心這個問題。
注意:某些低級的瀏覽器尚不支援JSON.parse()
2.第二個區別:JSON.parse()解析的必須是json格式的字串要不報錯,而eval()則沒有這麼嚴格
在這裡“json格式的字串”是指要求指定的字串必須符合嚴格的JSON格式,例如:屬性名稱必須加雙引號、字串值也必須用雙引號。
如果傳入一個格式不"完好"的JSON字串將拋出一個js異常
json的解析方法共有兩種:eval 和 JSON.parse(),如:
var jsonStr= ‘{"name":"lulu", "sex":"female"}‘; var evalJson=eval(‘(‘+jsonStr+‘)‘); var jsonParseJson=JSON.parse(jsonStr);
這樣就把json格式的字串jsonStr轉換成了JSON對象。
但是區別是:
var age = 27; var jsonStr= ‘{"name":"lulu", "sex":"female","age":++age}‘; var evalJson=eval(‘(‘+jsonStr+‘)‘); //不報錯此時age的值是28 var jsonParseJson=JSON.parse(jsonStr);//報錯
從上面eval()函數的用法我們可以看出eval()函數在解析json格式的字串時要加上圓括弧如eval(‘(‘+jsonStr+‘)‘),這是因為:
eval本身的問題。 由於json是以”{}”的方式來開始以及結束的,在JS中,它會被當成一個語句塊來處理,所以必須強制性的將它轉換成一種運算式。
加上圓括弧的目的是迫使eval函數在處理JavaScript代碼的時候強制將括弧內的運算式(expression)轉化為對象,而不是作為語句(statement)來執行。舉一個例子,例如對象字面量{},如若不加外層的括弧,那麼eval會將大括弧識別為JavaScript代碼塊的開始和結束標記,那麼{}將會被認為是執行了一句空語句。
JSON.stringify() JSON.stringify()是把json資料轉化成json格式的字串如:
var jsonObj = {"name":"lulu","sex":"female"}; var jsonStr = JSON.stringify(jsonObj);
結果是:
‘{"name":"lulu", "sex":"female"}‘
js中解析json時候的eval和$.parseJSON()的區別以及JSON.stringify()