使用JavaScript eval解析JSON

Question

問題：我正在使用eval從我的WebMethods之一解析JSON返回值。

我不想添加jquery-json，因爲傳輸量已經很大。 所以我用eval解析JSON返回值。
現在有傳言說這是不安全的。爲什麼？

沒有人可以修改JSOn的返回值，除非他們破解我的服務器，在這種情況下，我會有一個更大的問題。

如果他們在本地執行此操作，那麼JavaScript只會在瀏覽器中執行。
所以我沒有看到問題出在哪裏。

有沒有人可以通過這個具體的例子揭示這一點？

function OnWebMethodSucceeded(JSONstrWebMethodReturnValue) 
{ 
    var result=eval('(' + JSONstrWebMethodReturnValue + ')') 
    ... // Adding result.xy to a table 
} 

Answer 1

的根本問題是eval可以運行任何JavaScript，而不僅僅是反序列化JSON格式的數據。使用它來處理來自不可信或半可信來源的JSON時，存在風險。將JSON包裝在括號中的頻繁訣竅不足以確保任意JavaScript不被執行。考慮這個「JSON」，這真的不是：

function(){alert('Hi')})(

如果你有這樣的一個變量x和這樣做：

var result = eval("(" + x + ")"); 

...你會看到一個警告 - JavaScript的跑了。安全問題。

如果您的數據來自可信來源（聽起來像是這樣），我不會擔心它太多。也就是說，你可能會對Crockford的討論感興趣here（Crockford是JSON的發明者和一般知識淵博的JavaScript人）。 Crockford還在this page上提供了至少三個公有領域的解析器，您可能會考慮使用：他的json2.js解析器和字符串，縮小時只有2.5k大小，但仍然使用eval（它首先需要多個預防措施）;他的json_parse.js，這是一個遞歸下降解析器不使用eval;和他的json_parse_state.js，一個狀態機解析器（不再使用eval）。所以你可以選擇你的毒藥。 （喊出來Camilo Martin您指出那些過去兩年的替代品。）

Answer 2

越來越多的JSON解析和編碼可用本機在現代瀏覽器，[wikipedia reference]這使你的應用程序安全的JSON功能，無需加載額外的庫。

你可以做這樣的事情測試原生JSON支持：通過framewok可用

var native_JSON_exists = typeof window.JSON === 'object'; 

您應該加載像道格拉斯Crockford的一個JSON解析庫（由TJ克羅德鏈接，以上）或功能對於沒有本地支持的瀏覽器。 （但您至少應該在支持它的瀏覽器中使用本機JSON，以保護足夠幸運擁有現代瀏覽器的用戶）

請記住，JSON是JavaScript語法的一個子集，因此可用於JavaScript eval語句的字符串可能不適用於正確的JSON解析。您可以使用JSLint測試您的JSON字符串的錯誤（http://www.jslint.com/）。