请问字符串转JSON为什么没人这样写?-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

请问字符串转JSON为什么没人这样写?

爵霸 2016-03-05 11:19:17 1252
function StrToJSON(str){
    if(Lib._.isString(str)){
        return (new Function('return '+str))();
    }else{
        return false;
    }
}

最近发现这样子也可以把字符串转成json,ie6也没问题,效率也很高

可为啥没人这样写?是有什么坑的吗?

JSON 数据格式
分享到
取消 提交回答
全部回答(1)
  • 爵霸
    2019-07-17 18:53:05

    有差别, 主要体现在:
    JSON的格式定义是一个纯“数据”的存储格式,不支持javascript所有的语言格式,包括:函数、表达式等。
    因此JSON字符串转换到 Javascript Object 之后的对象,是不能包含函数之类的特性。

    所以,采用 new Function(...)这种转化格式,或者更直接一点:eval("var data ="+str); 的话,转换是没问题的, 不过会出现如果原来的字符串有人估计埋入的函数的话, 就会被执行了。 进一步造成安全问题(如xss)。

    综上所述:如果题主的数据源的安全性是可控的话, 问题不大。 如果是用户输入的内容, 这里就要小心了。

    0 0
大数据
使用钉钉扫一扫加入圈子
+ 订阅

大数据计算实践乐园,近距离学习前沿技术

推荐文章
相似问题
推荐课程