JSON.parse() 仅支持严格 RFC 4627 格式，遇单引号、尾逗号、注释、undefined 等会抛 SyntaxError；须用 try...catch 处理，且 localStorage 存取必须配合 JSON.stringify/parse。

JSON.parse() 解析字符串时遇到 SyntaxError 怎么办

直接用 JSON.parse() 解析非标准 JSON 字符串（比如单引号、尾逗号、注释、undefined）必然报 SyntaxError: Unexpected token。它只认严格 RFC 4627 格式。

• 后端返回的字符串必须是双引号包裹、无尾逗号、无注释、无 undefined 或 NaN
• 浏览器控制台里复制出来的对象（如 {name: 'Alice'}）不是合法 JSON，不能直接 parse
• 常见误操作：把 localStorage.getItem('data') 的返回值当作对象用，其实它是字符串，必须先 JSON.parse()
• 安全做法：始终加 try...catch，尤其处理用户输入或第三方 API 返回

try {
  const data = JSON.parse(rawString);
} catch (e) {
  console.error('JSON 解析失败:', e.message);
  // 可 fallback 到默认值或提示用户
}

JSON.stringify() 序列化时丢失函数、undefined、Symbol 和循环引用

JSON.stringify() 不是“深拷贝”工具，它有明确的忽略规则：函数、undefined、Symbol 值会被跳过；NaN 和 Infinity 变成 null；对象含循环引用会直接抛错 TypeError: Converting circular structure to JSON。

• 序列化前检查是否含循环引用（可用 typeof obj === 'object' && obj !== null 配合 WeakMap 记录已遍历对象）
• 想保留 undefined？得先转成 null 或字符串（例如用 replacer 函数）
• replacer 参数可过滤或转换字段：JSON.stringify(obj, (key, value) => key === 'secret' ? undefined : value)
• space 参数仅影响格式（调试用），不影响数据内容

const obj = { a: 1, b: () => {}, c: undefined };
console.log(JSON.stringify(obj)); // {"a":1}
// 想显示 undefined？只能手动处理，JSON.stringify 不支持

和 localStorage / sessionStorage 配合时的典型错误

这两个 Web Storage API 只接受字符串作为值，setItem 传入对象会自动调用 .toString()，结果是 [object Object]，取出来再 JSON.parse() 就崩了。

• 存之前必须 JSON.stringify()，取之后必须 JSON.parse()
• 不要依赖 getItem() 返回值的类型判断——它永远是 string 或 null，空字符串也要考虑
• 大对象（>5MB）可能触发 QuotaExceededError，需捕获并降级处理
• 敏感数据别放 localStorage，它不防 XSS，也不加密

const user = { id: 123, name: 'Bob' };
localStorage.setItem('user', JSON.stringify(user)); // ✅

const saved = localStorage.getItem('user');
const parsed = saved ? JSON.parse(saved) : null; // ✅ 防 null

JSON 和 JavaScript 对象的区别不止引号和语法

JSON 是数据交换格式，不是 JavaScript 子集。一个看似合法的 JSON 字符串，在 JS 中可能无法直接执行；而一个合法 JS 对象字面量，未必是合法 JSON。

• JSON 键名必须用双引号，JS 对象可以不用：{"name":"Alice"} ✅，{name:"Alice"} ❌（不是 JSON）
• JSON 不支持末尾逗号，JS 对象支持（但某些老环境不兼容）
• JSON 没有 Date、RegExp、Function、undefined 等类型，它们序列化后都会被丢弃或转义
• 时间戳建议统一用 ISO 字符串（new Date().toISOString()），而不是 Date 实例本身

真正容易被忽略的是：JSON 不是“轻量 JS”，它是独立规范。任何想绕过 parse/stringify 直接 eval() 或 Function() 执行 JSON 字符串的行为，都等于主动打开 XSS 大门。