有没有一种安全的方法来使用 JavaScript 验证 JSON 输入？

Question

我正在从 Windows 7 Gadget 中提取一些外部 JSON 数据，该小工具基本上是在 Internet Explorer 下运行的一段 JavaScript，具有高安全权限。因此，我想确保 JSON 格式正确并且不是恶意的。

有什么好的方法可以做到这一点？

Answer 1

JSON 是 JavaScript。因此，您可以像验证 JavaScript 一样静态验证 JSON。您担心通常可用于验证 JavaScript 的 eval 方法，并且您非常明智地避免使用这种方法。如果它是恶意的并且你执行了验证，那么你就已经完蛋了。 JSLint 是一个很棒的工具。请参阅堆栈溢出问题JSLint 是否可以离线使用？ 了解如何“离线”使用此实用程序。

另一种方法是使用 json2.js< /a>.此方法正确解析包含以下内容的 JSON
函数，所以请注意这个警告。

Answer 2

使用 JSON.parse(jsonString);。这将构建数组和对象，但不会运行 JSON 中的任何代码。要支持没有 HTML5 JSON 对象的旧版浏览器，请使用 json2.js，它使用相同的 API，在使用 eval() 处理 JSON 之前检查无效数据。