问伊瓦尔是邪恶的。那么我应该用什么来代替呢？

EN

json.org有一个很好的javascript library

简单用法：

JSON.parse('[{"some":"json"}]');
JSON.stringify([{some:'json'}]);

编辑：正如评论中所指出的，如果你查看它的源代码，它将使用eval (尽管它看起来首先是经过清理的)

要完全避免这种情况，请查看json_parse或json-sans-eval

json2.js是不安全的，json_parse.js很慢，json-sans-eval.js是非验证的

有没有一种标准的、经过验证的安全方法来做到这一点？

在即将发布的ECMAScript 3.1版本的JavaScript中，有一种建议的标准方法来实现这一点：JSON.parse。

它将在IE8、Firefox3.1/3.5以及未来最有可能出现的其他流行浏览器中得到支持。同时，您可以退回到eval()，或者专门使用eval()。它可能是邪恶的，也可能不是；它肯定会比JSON.parse慢。但这是目前解析JSON的常用方法。

如果攻击者能够将恶意JavaScript注入到您通过JSON输出的内容中，那么您需要担心的问题就比“求值是恶”更大了。

我想说，一旦输入被清理干净，eval就是最好的选择。如果您的服务器被攻破，人们将能够向客户端发送任何他们想要的脚本。所以设置一个eval并不是一个很大的安全风险。如果您担心人们在数据包到达客户端之前对其进行操作，那么脚本本身也可以修改。

不要担心eval。但是一定要把它包装在一个try...catch块中，这样如果你的JSON被破坏了，你的用户就不会收到JS错误。

:)