深入浅析JSON.parse()、JSON.stringify()和eval()的作用详解
“JSON(JavaScriptObjectNotation)是一种轻量级的数据交换格式。它基于ECMAScript的一个子集。因为采用独立于语言的文本格式,也使用了类似于C语言家族的习惯,拥有了这些特性使JSON成为理想的数据交换语言,作用是易于人阅读和编写,同时也易于机器解析和生成(一般用于提升网络传输速率)。”
今天在这里笔者想简单谈谈jquery里面的JSON.parse()和JSON.stringify()函数,顺便还会提一下原生JS里面的eval()函数
(1)JSON.parse函数
作用:将JavaScript对象表示法(JSON)字符串转换为对象。
语法:JSON.parse(text[,reviver])
参数:
text必需。一个有效的JSON字符串。
reviver可选。一个转换结果的函数。将为对象的每个成员调用此函数。
返回值:一个对象或数组
example:
varjson='{"name":"GDT","age":,"University":"GDUT"}'; varinfo=JSON.parse(json);//解析为JSON对象 document.write(info.name+'isastudentof'+info.University+'andheis'+info.age+"yearsold.");/info为Object对象
(2)JSON.stringify()函数
作用:将JavaScript值转换为JavaScript对象表示法(JSON)字符串
语法:JSON.stringify(value[,replacer][,space])
参数:
value必需,通常为需要转换的JavaScript值(通常为对象或者数组)
replacer可选,用于转换结果的函数或者数组
space可选。向返回值JSON文本添加缩进、空格和换行符以使其更易于读取。
返回值:一个包含JSON文本的字符串
example:
varinfo={name:"GDT",age:,University:"GDUT"}; varjson=JSON.stringify(info);//转换为JSON字符串 document.write(json);//output为{"name":"GDT","age":23,"University":"GDUT"}
(3)eval()函数
作用:eval()函数可计算某个字符串,并执行其中的的JavaScript代码。
语法:eval(string)
参数:
string必需,要计算的字符串,其中含有要计算的JavaScript表达式或要执行的语句。
返回值:返回计算string的值,如果有的话(没有则不做任何改变返回)
example:
eval("x=;y=;document.write(x*y)");//output为 document.write(eval("+"));//output为 varx=; document.write(eval(x+));//output为
使用eval()函数也可以将JSON字符串解析为对象,这个功能能完成JSON.parse()的功能,但是有不一样的地方,请看下面代码
//JSON.parse() varjson='{"name":"GDT","age":,"University":"GDUT"}'; varinfo=JSON.parse(json);//解析为JSON对象 document.write(info);//output为[objectObject] //eval() varjson='{"name":"GDT","age":,"University":"GDUT"}'; varinfo=eval('('+json+')');//解析为JSON对象 document.write(info);//output为[objectObject]
不知道大家有木有注意到eval()还要用一对圆括号将字符串包起来,对此我寻找到比较好的解释就是:
原因:归结于eval本身的问题,由于json是以”{}”的方式来开始以及结束的,在JS中,它会被当成一个语句块来处理,所以必须强制性的将它转换成一种表达式。
解决方法:加上圆括号的目的是迫使eval函数在处理JavaScript代码的时候强制将括号内的表达式(expression)转化为对象,而不是作为语句(statement)来执行。举一个例子,例如对象字面量{},如若不加外层的括号,那么eval会将大括号识别为JavaScript代码块的开始和结束标记,那么{}将会被认为是执行了一句空语句。请看下列例子的不同
alert(eval("{}"));//returnundefined alert(eval('('+'{}'+')'));//returnobject[Object]
另外,相对于写法格式严格的JSON.parse()来说,eval()可以解析任何字符串,eval是不安全的,因为eval比较宽松,会有潜在的安全性问题。比如以下代码:
varstr='{"a":"b"}'; document.write(eval("("+str+")"));//正常解析为对象 varstr='{"a":(function(){alert("Icandosomethingbad!");})()}'; eval('('+str+')');//可以用来执行木马脚本
如果用恶意用户在json字符串中注入了向页面插入木马链接的脚本,用eval也是可以操作的,而用JSON.parse()则不必担心这个问题,可见,虽然eval()功能很强大,但是实际用到的机会并不多。
个人总结的时候到了,这是我人生第一篇的博客,在4月1号Fool'sDay诞生,写得不好的地方还希望各位多多见谅,现在技术非常渣,我很希望现在能够一点一滴去积累知识,为日后的成功奠定好基础,fighting~