应该使用 jQuery 的 parseJSON/getJSON 方法吗？

Question

我注意到 jQuery parseJSON 基本上做了一个简单的正则表达式“检查”：

parseJSON: function( data ) {
    if ( typeof data !== "string" || !data ) {
        return null;
    }

    // Make sure leading/trailing whitespace is removed (IE can't handle it)
    data = jQuery.trim( data );

    // Make sure the incoming data is actual JSON
    // Logic borrowed from http://json.org/json2.js
    if ( /^[\],:{}\s]*$/.test(data.replace(/\\(?:["\\\/bfnrt]|u[0-9a-fA-F]{4})/g, "@")
        .replace(/"[^"\\\n\r]*"|true|false|null|-?\d+(?:\.\d*)?(?:[eE][+\-]?\d+)?/g, "]")
        .replace(/(?:^|:|,)(?:\s*\[)+/g, "")) ) {

        // Try to use the native JSON parser first
        return window.JSON && window.JSON.parse ?
            window.JSON.parse( data ) :
            (new Function("return " + data))();

    } else {
        jQuery.error( "Invalid JSON: " + data );
    }
},

如果它通过了“检查”并且它是现代浏览器，则使用原生 JSON 解析器。否则，我假设对于像 IE6 这样的浏览器，会自动调用一个新函数并返回该对象。

问题 #1：由于这只是一个简单的正则表达式测试，这不是很容易出现某种模糊的边缘情况利用吗？对于至少不支持原生 JSON 解析的浏览器，我们真的不应该使用成熟的解析器吗？

问题 #2：(new Function(" return " + data ))() 与 eval("(" + text + ")") 相比“更安全”多少？

Answer 1

正如 cmets 中提到的，jQuery 的 JSON 解析器“借用”了测试 JSON 字符串是否有效的逻辑，直接来自 json2.js。这使它与最常见的非本地实现一样“安全”，但无论如何都是相当严格的：

// In the second stage, we run the text against regular expressions that look
// for non-JSON patterns. We are especially concerned with '()' and 'new'
// because they can cause invocation, and '=' because it can cause mutation.
// But just to be safe, we want to reject all unexpected forms.

// We split the second stage into 4 regexp operations in order to work around
// crippling inefficiencies in IE's and Safari's regexp engines. First we
// replace the JSON backslash pairs with '@' (a non-JSON character). Second, we
// replace all simple value tokens with ']' characters. Third, we delete all
// open brackets that follow a colon or comma or that begin the text. Finally,
// we look to see that the remaining characters are only whitespace or ']' or
// ',' or ':' or '{' or '}'. If that is so, then the text is safe for eval.

            if (/^[\],:{}\s]*$/.
test(text.replace(/\\(?:["\\\/bfnrt]|u[0-9a-fA-F]{4})/g, '@').
replace(/"[^"\\\n\r]*"|true|false|null|-?\d+(?:\.\d*)?(?:[eE][+\-]?\d+)?/g, ']').
replace(/(?:^|:|,)(?:\s*\[)+/g, ''))) {

我不明白的是，为什么 jQuery 在检查本机实现之前运行正则表达式/替换，无论如何都会检查正确的 JSON 语法。似乎只有在本机实现不可用的情况下才会加快速度。

问题 2 在另一个问题中是answered very well by bobince：

其实差别不大，但感觉是 eval 比 new Function 更“差”。不是在安全性方面 — 它们在面对不受信任的输入时同样无用，但是希望您的 web 应用不会返回不受信任的 JSON 字符串 — 但是在语言级别的怪异方面，因此对优化的阻力。

查看Nick Craver's answer 那里也有来自 John Resig 的直接报价。

Answer 2

JSON.parse 方法是最安全的。这是在您从http://www.json.org/js.html 包含json2.js 时定义的，并由 parseJSON/getJSON 自动使用。它解析而不是执行 JSON 标记。