js如何解析JSON字符串 JSON解析的3种安全处理方式

JSON解析，说白了，就是把一堆看起来像乱码的字符串，变成JavaScript能懂的对象或数组。但这里面藏着不少坑，一不小心就掉进去了。

直接告诉你答案：JSON.parse() 是主力军，但用的时候得小心。另外，还有一些奇技淫巧可以防身。

JSON.parse() 的威力与陷阱

JSON.parse() 是 JavaScript 内置的方法，专门用来解析 JSON 字符串。用起来很简单：

const jsonString = '{"name":"张三", "age": 30}';
const obj = JSON.parse(jsonString);
console.log(obj.name); // 输出：张三

看起来很美好，对吧？但如果 jsonString 不是一个合法的 JSON 字符串，就会报错。比如：

const jsonString = "{name:'张三', age: 30}"; // 注意：name和age的key没有用双引号包裹
try {
const obj = JSON.parse(jsonString);
console.log(obj.name);
} catch (error) {
console.error("JSON 解析出错:", error);
}

所以，在使用 JSON.parse() 之前，最好能确保你的 JSON 字符串是有效的。怎么确保？后面会讲到。

如何校验JSON字符串的有效性？

确保 JSON 字符串有效，就像给代码加一层保险。万一 JSON 字符串是从外部来的（比如 API 接口），那这层保险就更重要了。

• 方法一：try…catch + JSON.parse()

这是最简单粗暴的方法。直接用 JSON.parse() 解析，如果报错，就说明 JSON 字符串有问题。

function isValidJSON(jsonString) {
try {
JSON.parse(jsonString);
return true;
} catch (e) {
return false;
}
}
const validJson = '{"name":"张三", "age": 30}';
const invalidJson = "{name:'张三', age: 30}";
console.log(isValidJSON(validJson));   // true
console.log(isValidJSON(invalidJson));  // false

• 方法二：使用第三方库

有一些专门用来校验 JSON 格式的库，比如 ajv (Another JSON Validator)。用这些库可以做更细致的校验，比如检查 JSON 是否符合特定的 Schema。

// 需要先安装 ajv: npm install ajv
const Ajv = require('ajv');
const ajv = new Ajv();
const schema = {
type: "object",
properties: {
name: {type: "string"},
age: {type: "integer"}
},
required: ["name", "age"]
};
const validate = ajv.compile(schema);
const validData = {name: "张三", age: 30};
const invalidData = {name: "张三", age: "三十"};
console.log(validate(validData));   // true
console.log(validate(invalidData));  // false (因为 age 应该是 integer)

ajv 这种库的好处是，你可以定义 JSON 的结构和类型，然后用它来检查 JSON 数据是否符合你的要求。这在处理复杂的 JSON 数据时非常有用。

JSON注入攻击如何防范？

JSON 注入攻击，听起来很吓人，其实就是利用 JSON 解析的漏洞，往你的程序里注入恶意代码。

• 永远不要相信来自客户端的数据

这是最重要的一条原则。所有来自客户端的数据，都应该被视为不可信的。在使用 JSON.parse() 解析之前，一定要对数据进行严格的校验和过滤。

• 使用安全的 JSON 解析器

虽然 JSON.parse() 本身没有明显的漏洞，但一些老的 JavaScript 引擎可能存在安全问题。所以，尽量使用最新版本的 JavaScript 引擎，或者使用一些经过安全审计的第三方 JSON 解析库。

• 对 JSON 数据进行转义

如果 JSON 数据中包含特殊字符（比如 、&），应该对这些字符进行转义，防止它们被解析成 HTML 标签或 JavaScript 代码。

function escapeJSON(jsonString) {
return jsonString.replace(/</g, '<')
.replace(/>/g, '>')
.replace(/&/g, '&')
.replace(/"/g, '"')
.replace(/'/g, ''');
}
const maliciousJson = '{"name": "<script>alert(\'XSS\')</script>"}';
const escapedJson = escapeJSON(maliciousJson);
console.log(escapedJson); // 输出：{"name": "<script>alert('XSS')</script>"}

• 限制 JSON 数据的使用范围

尽量避免把 JSON 数据直接插入到 HTML 页面中，或者作为 JavaScript 代码执行。如果必须这样做，一定要进行严格的审查，确保数据没有被篡改。

除了 JSON.parse() 还有其他选择吗？

其实，在某些情况下，你可能不需要直接使用 JSON.parse()。比如，如果你的 JSON 数据是从服务器端获取的，而且服务器端已经做了处理，那么你可以直接使用 JavaScript 对象。

另外，一些现代的 JavaScript 框架（比如 React、Vue）会自动处理 JSON 数据的解析和渲染，你不需要手动调用 JSON.parse()。

还有一些第三方库提供了更高级的 JSON 处理功能，比如：

• JSONStream: 用于处理大型 JSON 数据流，可以避免一次性加载整个 JSON 数据到内存中。
• fast-json-stringify: 用于快速地将 JavaScript 对象序列化成 JSON 字符串，比 JSON.stringify() 更快。

总而言之，JSON 解析是一个看似简单，实则暗藏玄机的操作。只有掌握了正确的方法和技巧，才能避免踩坑，保证程序的安全和稳定。