JavaScript 解析JSON必须用JSON.parse()而非eval()以防XSS，生成时需处理循环引用和不可序列化值，解析前应校验数据来源与类型，大数据量需流式解析或懒加载。

JavaScript 解析和生成 JSON 主要靠内置的 JSON.parse() 和 JSON.stringify()，它们快、标准、无需依赖，但用错容易引发安全漏洞或性能问题。

解析 JSON：别用 eval，始终用 JSON.parse

JSON.parse() 是唯一安全可靠的解析方式。它严格校验 JSON 格式，拒绝执行任意代码；而 eval() 或构造函数方式会执行字符串中的 JavaScript 表达式，存在严重 XSS 和代码注入风险。

• ✅ 正确：const data = JSON.parse('{"name":"Alice","age":30}');
• ❌ 危险：eval('{"name":"Alice", "age":30}'); // 可能执行恶意语句
• ⚠️ 注意：JSON 字符串必须是双引号包裹的键名和字符串值，单引号或尾逗号会导致解析失败

生成 JSON：警惕循环引用和不可序列化值

JSON.stringify() 会跳过函数、undefined、Symbol 类型，遇到循环引用直接抛错（TypeError: Converting circular structure to JSON）。

• 用 replacer 参数过滤敏感字段或转换值，例如：JSON.stringify(obj, ['name', 'email'])
• 处理循环引用可提前克隆并剥离引用，或使用第三方库如 flatted 或自定义 replacer 检测并替换
• 日期对象默认转为 ISO 字符串，若需自定义格式，可通过 replacer 处理：if (value instanceof Date) return value.toISOString();

安全注意事项：服务端信任不可靠，客户端不校验不解析

前端解析的 JSON 数据来源必须可信。即使来自自家 API，也应假设传输中可能被篡改（如中间人攻击、CDN 缓存污染）。

• 对关键字段做运行时类型检查，例如：if (typeof data.id !== 'number') throw new Error('Invalid id');
• 避免将解析结果直接用于 DOM 插入（如 innerHTML），防止 XSS；优先用 textContent 或模板引擎做转义
• 不要在 JSON 中嵌入可执行内容（如 base64 脚本、内联事件字符串），后端也应做输入过滤

性能注意事项：大体积 JSON 要节制解析与深拷贝

解析 10MB 以上 JSON 可能阻塞主线程数秒，导致页面卡死；频繁 stringify 大对象也会触发大量内存分配。

• 前端接收大数据时，考虑流式解析（如 stream-json）或分页/懒加载结构
• 避免在循环中反复 JSON.stringify() 相同对象；必要时缓存字符串结果
• 深拷贝需求优先用结构化克隆（structuredClone()，现代浏览器支持）而非 JSON 序列化反序列化，后者丢失原型、函数、undefined 等且更慢

不复杂但容易忽略。用对 API、守住数据边界、量级上来时换方案，JSON 就很稳。