ял, что JSON.parse () не позволяет злоумышленнику внедрить javascript в ответ, поскольку анализатор JSON - это просто анализатор текста, а не анализатор сценариев, поэтому, пожалуйста, не закрывайте это дублирование всех других вопросов, которые говорят об этом , Это другой вопрос.

Если злоумышленник может перехватить ваш Ajax-вызов и вставить javascript в Ajax-вызов, разве он не может с такой же вероятностью взломать вашу реальную веб-страницу и вставить произвольный javascript на вашу страницу, с которой он может выполнить точно такую ​​же атаку?

Конечно, вам нечего терять, используя JSON.parse () вместо eval () (если у вас еще нет JSON-анализатора в вашей среде и вам не нужно добавлять больше кода для его получения), но в каких ситуациях это действительно так? повысить безопасность, если ваша веб-страница обслуживается тем же хостом, что и ваш вызов ajax?