JSON的优点大家有目共睹,js中解析JSON也是有两种方法:
第一种是JSON.parse 比较安全 不会执行json对象里的js语句:
var JSONobj1 = JSON.parse(JSONresponse); //JSONresponse为需要解析的JSON 解析后生成一个对象保存在JSONobj1里
alert(JSONobj1.member); //可以直接访问它成员member就可以得到JSONresponse中member对应的值
第二种是eval 这种方法会执行json对象中的js语句 比较危险 在解析来源不明的json对象的时候可能出现危险
var JSONobj2 = eval('(' + JSONresponse + ')'); //注意前后两个小括号千万不能少!!!
alert(JSONobj2.member); //也是可以通过这样的方式访问JSONresponse的键值对
那么问题来了,为什么说eval不安全呢,当我们的JSONresponse的member对应的值是一段可执行的js代码的时候,我们访问这个值就会自动执行JSONobj2.member对应的js代码,这样做很容易引起XSS攻击,是十分危险的,所以在面对不可信的JSON的时候,还是推荐使用JSON.parse。