JavaScript中解析JSON的替代方法，不使用eval()函数

在使用jQuery时，无论安全与否，最好使用$.getJSON()方法而不是$.ajax()：

$.getJSON(url, function(data){
    alert(data.exampleType);
});

eval()通常在与自己的服务器通信且在服务器端使用良好的JSON库保证生成的JSON不包含任何有害内容时被视为安全的JSON解析方法。

即使是JSON的作者Douglas Crockford也说，除了用于解析JSON之外，在代码中不应该使用eval()。请参阅他的书中相应部分JavaScript: The Good Parts

你应该使用 JSON 并编写 JSON.parse。

"手动"解析太慢了，因此库中的 JSON.parse 实现会检查一些内容，然后最终使用 eval，因此它仍然是不安全的。但是，如果你正在使用较新的浏览器（IE8或Firefox），则实际上不会执行库代码。相反，本地浏览器支持会启动，然后您就是安全的。

在这里阅读更多信息和这里。

如果您不能信任来源，那么您是正确的...eval不安全。它可以用于将代码注入到您的页面中。
请查看此链接以获得更安全的替代方案： JavaScript中的JSON 该页面解释了为什么eval不安全，并在页面底部提供了一个JSON解析器的链接。

不安全？这取决于您是否信任数据。

如果您可以确信该字符串是JSON格式（例如不包含函数），那么它就是安全的。

话虽如此 - 如果您正在使用jQuery，为什么要手动处理呢？使用dataType选项指定为JSON格式，让库来为您处理。

如果您正在使用jQuery，从1.4.1版本开始，您可以使用jQuery.parseJSON()

请参见此答案：Safe json parsing with jquery?

使用JavaScript的eval是不安全的。因为JSON只是JavaScript的一个子集，但是JavaScript的eval允许任何有效的JavaScript。

相反，使用来自json.org的真正的JSON解析器。

评估代码的替代方案是手动解析代码。听起来并不难，但运行时要重得多。重点需要注意的是，评估JSON本质上并不不安全。只要您信任源头不会弄糟事情。这包括确保传递给JSON编码器的内容已经正确转义（以防止上游2步在用户机器上执行代码）。您可以在此处阅读有关此信息的更多内容。请注意保留HTML标记。

你可以像这样尝试：

你可以这样尝试

var object = new Function("return " + jsonString)()

另一个很好的选择是YUI： http://yuilibrary.com/yui/docs/json/

因此，您的代码将类似于：

Y.JSON.parse('{"id": 15, "name": "something"}');