JSON 使用

把 JSON 文本转换为 JavaScript 对象

JSON 最常见的用法之一,是从 web 服务器上读取 JSON 数据(作为文件或作为 HttpRequest),将 JSON 数据转换为 JavaScript 对象,然后在网页中使用该数据。

为了更简单地为您讲解,我们使用字符串作为输入进行演示(而不是文件)。

JSON 实例 - 来自字符串的对象

创建包含 JSON语法的 JavaScript 字符串:

var txtJson = '{ "star_male" : [' +
'{ "name":"鹿晗" , "age":26 },' +
'{ "name":"李易峰" , "age":29 },' +
'{ "name":"陈赫" , "age":31 } ]}';

由于 JSON语法是 JavaScript 语法的子集,JavaScript 函数 eval() 可用于将 JSON 文本转换为 JavaScript 对象。

eval() 函数使用的是 JavaScript 编译器,可解析 JSON 文本,然后生成 JavaScript 对象。必须把文本包围在括号中,这样才能避免语法错误:

var obj = eval ("(" + txtJson + ")");

栗子🌰:

JSON 值可以是:

var txtJson = '{ "star_male" : [' +
'{ "name":"鹿晗" , "age":26 },' +
'{ "name":"李易峰" , "age":29 },' +
'{ "name":"陈赫" , "age":31 } ]}';

//利用函数 eval() 转换成JSON对象
var obj = eval ("(" + txtJson + ")");

//输出数组的第一个对象的name值
alert("得到的值:" + obj.star_male[0].name);

JSON 解析器

提示:eval() 函数可编译并执行任何 JavaScript 代码。这隐藏了一个潜在的安全问题。

使用 JSON解析器将 JSON 转换为 JavaScript 对象是更安全的做法。JSON 解析器只能识别 JSON 文本,而不会编译脚本。

在浏览器中,这提供了原生的 JSON 支持,而且 JSON 解析器的速度更快。

严重:JSON 解析器 eval() 安全问题说明

大家都知道eval()函数就是evaluation

它的特点如果遇到运算符(/、*、-、+、>>等),它会直接计算结果,下面我们来看 一个Demo

//假如鹿晗有一张CD,name为“26-11”。
var txtJson = '{' + 
    '"name": "鹿晗",' + 
    '"cd_name": 26-11' + 
'}';
//利用函数 eval() 转换成JSON对象
var obj = eval ("(" + txtJson + ")");
//输出cd_name
alert("cd_name:" + obj.cd_name);

运行一下,你会惊讶的发现,结果为:

cd_name:15

结果为:26 - 11 = 15;

结论:得出的结果如果字符串里含有运算符,那么用 eval()不安全,它的结果是运算后的结果。

版权所属:SOJSON(原创文章)

原文地址:https://www.sojson.com/json/json_eval.html

转载时必须以链接形式注明原始出处及本声明。

支付扫码

所有赞助/开支都讲公开明细,用于网站维护:赞助名单查看

查看我的收藏

正在加载... ...