如何在 JSON 中转义字符串？

在当今这个数据驱动的世界里，JSON (JavaScript Object Notation) 依然是连接现代 Web 应用、微服务架构以及 AI 模型 API 的无形纽带。尽管它看起来简单直观，但在实际的生产级开发中，如何优雅且安全地处理字符串转义，往往是区分初级代码与健壮系统的关键分水岭。

特别是到了 2026 年，随着 AI 辅助编程和边缘计算的普及，我们处理数据的方式发生了深刻变化。在这篇文章中，我们将不仅回顾 JSON 转义的经典规则，更会结合我们最新的实战经验，探讨在现代开发工作流中如何利用 AI 和工程化手段来驾驭这一细节。

经典回顾：JSON 转义规则的核心逻辑

让我们先回到基础。在 JSON 中，字符串必须使用双引号 " 包裹。这意味着，如果我们的数据内容本身包含双引号或其他控制字符，就必须进行“转义”，以防止 JSON 解析器将其误判为结构的结束或指令。

以下是我们必须时刻牢记的核心转义映射表：

含义

—

斜杠 (可选，但在 INLINECODE6f4a4355 中必须)

在现代 JavaScript 中进行程序化转义

你可能会问：“既然 JSON.stringify() 是万能的，为什么我还需要手动转义？”

这是一个很好的问题。在我们的实战经验中，经常遇到非标准 JSON 流或需要拼接大量字符串模板的场景（比如生成用于日志分析的特定格式，或者构建复杂的 SQL 查询语句）。此时，我们需要更底层的控制。

让我们来看一个实际的例子：

假设我们正在构建一个高性能的日志收集器，需要将用户输入的任意文本安全地嵌入到 JSON 格式的日志条目中，同时尽量减少引擎的开销。

/**
 * 生产环境安全转义函数
 * 原理：按顺序替换，防止双重转义
 * 注意：必须先转义反斜杠，否则会将后续转义符号再次转义
 */
function escapeJSONString(str) {
    // 1. 处理反斜杠，防止后续转义被破坏
    // 将 \ 替换为 \\
    let result = str.replace(/\\/g, ‘\\\\‘);

    // 2. 处理双引号，这是 JSON 字符串的边界
    // 将 " 替换为 \"
    result = result.replace(/"/g, ‘\\"‘);

    // 3. 处理控制字符 (换行、回车、制表符等)
    // 替换不可见字符为转义序列
    result = result.replace(/
/g, ‘\
‘)
                  .replace(/\r/g, ‘\\r‘)
                  .replace(/\t/g, ‘\\t‘);

    // 4. (可选) 处理其他 ASCII 控制字符 (x00-x1F)
    // 这是一个高级技巧，确保二进制安全
    return result.replace(/[\x00-\x1F\x7F]/g, (match) => {
        const code = match.charCodeAt(0);
        return `\\u${code.toString(16).padStart(4, ‘0‘).toUpperCase()}`;
    });
}

// 测试用例：包含嵌套引号、路径和换行的复杂字符串
const userInput = ‘He said, "The path is C:\\Windows\\Temp"
Next line.‘;
const safeJSON = `{
    "log_level": "INFO",
    "message": "${escapeJSONString(userInput)}"
}`;

console.log(safeJSON);

输出结果：

{
    "log_level": "INFO",
    "message": "He said, \"The path is C:\\\\Windows\\\\Temp\"
Next line."
}

为什么这很重要？

在 2026 年的云原生架构中，如果你的日志系统在处理特殊字符时崩溃，可能会导致整条日志链路阻塞。通过程序化控制转义，我们可以确保即使在极端输入下（例如用户误粘贴了二进制数据），系统依然保持稳定。

2026年技术视野：AI 辅助与高级转义策略

随着我们进入 AI 普及的时代，处理字符串的方式也在进化。现在，我们不再仅仅关注“如何转义”，而是关注“如何在人机协作中正确处理转义”。

1. 处理 Unicode 与 Emoji (多模态数据)

现代应用是多模态的。我们经常需要在 JSON 中传输 Emoji 表情或特殊 Unicode 字符。虽然 JSON 标准支持 Unicode，但在传输和存储过程中，不同的编码格式（UTF-8 vs UTF-16）可能会导致问题。

最佳实践：

INLINECODEe81881aa 默认会将非 ASCII 字符转换为 Unicode 转义序列（如 INLINECODE81b68037）。虽然这是合法的，但可读性极差，且会增加数据体积（这对于边缘计算场景尤为重要）。

解决方案：

我们可以利用 replacer 函数来干预这一过程，或者确保我们的环境配置为输出原始 UTF-8 字符以节省带宽。

const data = {
    user: "AI-01",
    status: "Processing data 🚀🔥", // 包含 Emoji
    raw_unicode: "\u00A9 2026 GeeksforGeeks" // 版权符号
};

// 标准 JSON.stringify
console.log("Standard:", JSON.stringify(data));
// 输出: {"user":"AI-01","status":"Processing data \uD83D\uDE80\uD83D\uDD25"...}

// 注意：现代引擎通常保留可见字符，但在旧版或特定配置下可能转义
// 我们更关心的是如何确保这些字符在数据库和 API 传输中不被损坏

2. 安全左移：防止注入攻击

在构建 Serverless 或 API 网关时，我们经常直接拼接 JSON 字符串以换取极致的性能。这是一把双刃剑。

如果你没有正确转义用户输入，攻击者可能会注入恶意 JSON 键值对，甚至闭合你的数据结构，导致数据泄露或代码执行。

// 危险示例：直接拼接 (反模式)
function unsafeApiResponder(name, value) {
    return `{"user": "${name}", "data": "${value}"}`;
}

// 攻击输入
const maliciousName = ‘", "admin": true, "role": "superuser‘;

console.log(unsafeApiResponder(maliciousName, "normalValue"));
// 输出: {"user": "", "admin": true, "role": "superuser", "data": "normalValue"}
// 用户身份被非法提升！

我们的建议： 除非有极致的性能要求（且你能保证安全），否则永远使用 JSON.stringify() 来生成 JSON 字符串，而不是手动拼接。这是我们在代码审查中强制执行的原则，也是 DevSecOps 的基石。

3. AI 辅助开发中的转义陷阱

在使用 Cursor、GitHub Copilot 等 AI 编程工具时，你可能会发现 AI 有时会“过度转义”或“遗忘转义”，特别是在处理复杂的正则表达式字符串时。

场景： 我们让 AI 写一个配置文件生成器。
AI 的常见错误： 它可能会在代码中写死转义后的字符串，导致二次转义（即 \\\
）。
我们的应对策略：

• 单元测试驱动： 编写专门针对边界情况的测试（如包含反斜杠的文件路径 C:\\Windows）。
• LLM 驱动的调试： 当遇到解析错误时，直接将错误日志抛给 LLM，并询问：“我正试图解析这个 JSON，错误显示在位置 X，请问是哪种转义问题导致的？” 这种对话式调试在 2026 年已成为标准流程。

深入解析：反转义与数据清洗

当我们从外部源（如遗留系统的 API 或日志文件）接收数据时，往往会遇到“双重转义”的问题。这在处理 AI 模型的输出流时尤为常见。

真实案例：清洗 AI 流式输出

假设我们正在接入一个 LLM 的流式 API，它返回的 JSON 片段中，换行符被转义为字面量字符串 \
而不是实际的换行控制符。我们需要将其还原。

/**
 * 智能反转义函数
 * 处理从老旧系统或特定 AI 协议中接收到的过度转义数据
 */
function unescapeJsonString(str) {
    // 仅当我们确认字符串被 JSON.stringify 过度编码时使用
    // 注意：这里处理的是字面量反斜杠+n
    return str.replace(/\\\
/g, ‘
‘)    // 将 
 还原为换行
              .replace(/\\\\r/g, ‘\r‘)    // 将 \r 还原为回车
              .replace(/\\\\t/g, ‘\t‘)    // 将 \t 还原为制表符
              .replace(/\\\\"/g, ‘"‘);    // 将 \" 还原为引号
}

// 模拟收到的脏数据
const dirtyJson = ‘{"message": "Hello\\\
World!"}‘; 
// 注意这里实际是 "Hello
World!"，即字符串里包含反斜杠和n

// 解析步骤
const parsedObj = JSON.parse(dirtyJson);
const cleanMessage = unescapeJsonString(parsedObj.message);

console.log(cleanMessage);
// 输出:
// Hello
// World!

关键决策：何时反转义？

你可能会遇到这样的决策时刻：是使用正则清洗，还是重新解析？

• 正则清洗 (如上例)： 适合处理结构化程度高、格式固定的脏数据。性能较好，但脆弱。
• 双重解析： 如果数据看起来像 JSON 字符串包裹着 JSON，有时需要 JSON.parse(JSON.parse(data))。这通常发生在消息队列系统中。

在我们的项目中，除非对方系统无法修改，否则我们倾向于在源头（数据生产方）修复转义逻辑，而不是在消费方增加复杂的清洗逻辑，以此降低技术债务。

性能优化与替代方案：超越 JSON

虽然 JSON 是通用的，但在 2026 年的高性能场景下，它并非唯一选择。

1. 性能对比：MessagePack vs JSON

在边缘计算和物联网 设备之间传输数据时，带宽极其宝贵。JSON 的转义字符和冗余的引号不仅占用空间，还需要解析成本。

替代方案： MessagePack 或 CBOR。它们是二进制格式，不需要像 JSON 那样进行字符串转义。例如，字符串长度前缀代替了结束引号，特殊字符直接以字节形式存储。

• JSON: "Hello
World" (13 bytes)
• MessagePack: 通常是更小的二进制流。

决策建议： 如果你的系统吞吐量达到每秒百万级，或者运行在资源受限的边缘节点上，我们强烈建议评估 Binary JSON (BSON) 或 MessagePack。

2. JSON 的可观测性陷阱

在日志分析中，转义字符是最大的痛点之一。如果你的日志是单行 JSON 格式，内部的换行符被转义为 INLINECODE1df28203，那么 INLINECODE84a7966d 或文本分析工具依然可以将其视为单行处理，这是巨大的优势。然而，如果你使用了美化打印，这些
会变成真实的换行，导致日志解析器混淆。

我们的最佳实践：

• 文件存储/网络传输： 使用紧凑的 JSON（转义控制符）。
• 人类阅读/调试： 使用 JSON.stringify(obj, null, 2) 进行美化，但仅在开发环境或查询端点。

结语

JSON 字符串转义看似微不足道，实则是构建健壮 Web 应用的基石。从防止安全漏洞，到优化 AI 交互的上下文窗口，每一个细节都至关重要。

在 2026 年，我们不再只是机械地记忆规则，而是结合 AI 辅助工具、自动化测试以及现代性能分析手段来审视它。希望这篇文章能帮助你在未来的项目中，像资深架构师一样从容应对数据格式的挑战。

记住：当你不确定时，请永远相信 JSON.stringify()，因为它永远不会背叛你。