JSON解析,说白了,就是把一堆看起来像乱码的字符串,变成JavaScript能懂的对象或数组。但这里面藏着不少坑,一不小心就掉进去了。
直接告诉你答案:json.parse() 是主力军,但用的时候得小心。另外,还有一些奇技淫巧可以防身。
JSON.parse() 的威力与陷阱
JSON.parse() 是 JavaScript 内置的方法,专门用来解析 JSON 字符串。用起来很简单:
const jsonString = '{"name":"张三", "age": 30}'; const obj = JSON.parse(jsonString); console.log(obj.name); // 输出:张三
看起来很美好,对吧?但如果 jsonString 不是一个合法的 JSON 字符串,就会报错。比如:
const jsonString = "{name:'张三', age: 30}"; // 注意:name和age的key没有用双引号包裹 try { const obj = JSON.parse(jsonString); console.log(obj.name); } catch (error) { console.error("JSON 解析出错:", error); }
所以,在使用 JSON.parse() 之前,最好能确保你的 JSON 字符串是有效的。怎么确保?后面会讲到。
如何校验JSON字符串的有效性?
确保 JSON 字符串有效,就像给代码加一层保险。万一 JSON 字符串是从外部来的(比如 API 接口),那这层保险就更重要了。
- 方法一:try…catch + JSON.parse()
这是最简单粗暴的方法。直接用 JSON.parse() 解析,如果报错,就说明 JSON 字符串有问题。
function isValidJSON(jsonString) { try { JSON.parse(jsonString); return true; } catch (e) { return false; } } const validJson = '{"name":"张三", "age": 30}'; const invalidJson = "{name:'张三', age: 30}"; console.log(isValidJSON(validJson)); // true console.log(isValidJSON(invalidJson)); // false
- 方法二:使用第三方库
有一些专门用来校验 JSON 格式的库,比如 ajv (Another JSON Validator)。用这些库可以做更细致的校验,比如检查 JSON 是否符合特定的 Schema。
// 需要先安装 ajv: npm install ajv const Ajv = require('ajv'); const ajv = new Ajv(); const schema = { type: "object", properties: { name: {type: "string"}, age: {type: "integer"} }, required: ["name", "age"] }; const validate = ajv.compile(schema); const validData = {name: "张三", age: 30}; const invalidData = {name: "张三", age: "三十"}; console.log(validate(validData)); // true console.log(validate(invalidData)); // false (因为 age 应该是 integer)
ajv 这种库的好处是,你可以定义 JSON 的结构和类型,然后用它来检查 JSON 数据是否符合你的要求。这在处理复杂的 JSON 数据时非常有用。
JSON注入攻击如何防范?
JSON 注入攻击,听起来很吓人,其实就是利用 JSON 解析的漏洞,往你的程序里注入恶意代码。
- 永远不要相信来自客户端的数据
这是最重要的一条原则。所有来自客户端的数据,都应该被视为不可信的。在使用 JSON.parse() 解析之前,一定要对数据进行严格的校验和过滤。
- 使用安全的 JSON 解析器
虽然 JSON.parse() 本身没有明显的漏洞,但一些老的 JavaScript 引擎可能存在安全问题。所以,尽量使用最新版本的 JavaScript 引擎,或者使用一些经过安全审计的第三方 JSON 解析库。
- 对 JSON 数据进行转义
如果 JSON 数据中包含特殊字符(比如 、&),应该对这些字符进行转义,防止它们被解析成 html 标签或 JavaScript 代码。
function escapeJSON(jsonString) { return jsonString.replace(/</g, '<') .replace(/>/g, '>') .replace(/&/g, '&') .replace(/"/g, '"') .replace(/'/g, '''); } const maliciousJson = '{"name": "<script>alert('XSS')</script>"}'; const escapedJson = escapeJSON(maliciousJson); console.log(escapedJson); // 输出:{"name": "<script>alert('XSS')</script>"}
- 限制 JSON 数据的使用范围
尽量避免把 JSON 数据直接插入到 HTML 页面中,或者作为 JavaScript 代码执行。如果必须这样做,一定要进行严格的审查,确保数据没有被篡改。
除了 JSON.parse() 还有其他选择吗?
其实,在某些情况下,你可能不需要直接使用 JSON.parse()。比如,如果你的 JSON 数据是从服务器端获取的,而且服务器端已经做了处理,那么你可以直接使用 JavaScript 对象。
另外,一些现代的 JavaScript 框架(比如 React、vue)会自动处理 JSON 数据的解析和渲染,你不需要手动调用 JSON.parse()。
还有一些第三方库提供了更高级的 JSON 处理功能,比如:
- JSONStream: 用于处理大型 JSON 数据流,可以避免一次性加载整个 JSON 数据到内存中。
- fast-json-stringify: 用于快速地将 JavaScript 对象序列化成 JSON 字符串,比 JSON.stringify() 更快。
总而言之,JSON 解析是一个看似简单,实则暗藏玄机的操作。只有掌握了正确的方法和技巧,才能避免踩坑,保证程序的安全和稳定。
