Это зависит от того, как вы загружаете и анализируете JSON.Если вы используете jQuery и загружаете данные через AJAX, то эти данные передаются во встроенный JSON-парсер браузера, который не поддерживает функцию, как объясняет greut.http://erlend.oftedal.no/blog/misc/json/index.html
Однако, если вы загружаете его через JSONP (оборачивая функцию вокруг него), JSON добавляет его непосредственно в тег скрипта в конце страницы, как, например, Socialcast,уязвима.http://erlend.oftedal.no/blog/misc/json/index2.html
Если у вас есть проблемы с этим последним, вы должны помнить, что значения (и ключи) JSON всегда должны быть заключены в "".Поэтому, если вы создаете JSON из ненадежных данных, вы должны помнить, чтобы JSON кодировал его.Это похоже на кодирование Javascript, за исключением того, что JSON имеет некоторые дополнительные особенности.Например, у вас может быть действительный файл JSON, который не является допустимым javascript, поскольку он содержит символы, разрешенные в JSON, но которые необходимо кодировать в javascript.