Json квадратни скоби. Въведение в JSON

Въпреки че JSON е проектиран да предава данни в сериализирана форма, синтаксисът му следва синтаксиса на JavaScript и това създава редица проблеми със сигурността. Често за обработка на данни, получени от външен източник във формат JSON, функцията eval() се прилага към тях без предварителна проверка.

Тъй като JSON изглежда синтактично правилна част от JavaScript код, най-лесният начин за анализиране на JSON данни в JavaScript програма е да се използва вградената функция JavaScript eval(), която е проектирана да изпълнява JavaScript изрази. При този подход не е необходимо да се използват допълнителни анализатори.

Техниката eval() прави системата уязвима, ако източникът на използваните JSON данни не е надежден ( Английски). Такива данни могат да бъдат злонамерен JavaScript код за атаки с инжектиране на код ( Английски). С помощта на тази уязвимост е възможно да се откраднат данни и да се фалшифицира удостоверяване. Въпреки това, уязвимостта може да бъде елиминирана чрез използване на допълнителни инструменти за валидиране на данни. Например, преди да изпълните eval(), данните, получени от външен източник, могат да бъдат валидирани с помощта на регулярни изрази. RFC, който дефинира JSON, предлага използването на следния код, за да проверите дали отговаря на формата JSON

Var my_JSON_object = ! (/[^,:()\[\]0-9.\-+Eaeflnr-u \n\r\t]/ .test ( text.replace (/"(\\.|[^"\\] )*"/g , "" ) ) ) && eval("(" + текст + ")" ) ;

Като по-безопасна алтернатива на eval() е предложена нова функция, parseJSON(), която може да обработва само JSON данни. Той беше въведен във версия 4 на стандарта ECMAScript и е описан в статията „JSON: Нискомаслена алтернатива на XML“. Понастоящем се предлага като JavaScript библиотека и ще бъде включена в петото издание на ECMAScript.

Последните версии на уеб браузърите имат вградена поддръжка за JSON и могат да го обработват без извикване на функцията eval(), което води до описания проблем. Обработката на JSON обикновено е по-бърза в този случай. Така през юни 2009 г. следните браузъри имаха вградена JSON поддръжка:

Най-малко пет популярни JavaScript библиотеки използват вграден JSON, когато са налични:

Лошото използване на JSON прави сайтовете уязвими за фалшифициране на междусайтови заявки (CSRF или XSRF). Тъй като маркерът позволява използването на източник, който не принадлежи към същия домейн като ресурса, който го използва, той позволява кодът да бъде изпълнен под прикритието на JSON данни в контекста на произволна страница, което прави възможно компрометиране на пароли или друга чувствителна информация на потребители, упълномощени за друг сайт.

Това изглежда проблем само ако JSON данните съдържат поверителна информация, която може да бъде компрометирана от трета страна и ако сървърът разчита на политика за единичен произход ( Английски), блокирайки достъпа до данни, когато бъде открита външна заявка. Това не е проблем, ако сървърът определя валидността на заявката, предоставяйки данни само ако са правилни. HTTP бисквитките не могат да се използват за определяне на това. Изключителното използване на HTTP бисквитки се използва от фалшифициране на заявки между сайтове.

JSONP (JSON Padding) или „JSON с padding“ е разширение на JSON, когато името на функция за обратно извикване е указано като входен аргумент.

Технологията се основава на факта, че политиката за сигурност на браузъра позволява използването на етикета за достъп до сървъри, различни от сървъра, от който е заредена страницата.

Без да използва JSONP технология (т.е. използвайки само JSON кодиране на данни), сървърът може да връща само данни. Например така:

("хартия": "А4", "брой": 5)

Това обаче са само данни и не могат да повлияят на браузъра.

Използвайки техниката JSONP, името на функцията за обратно извикване се предава на сървъра на трета страна в линията за повикване (GET):

Тук параметърът jsonp съдържа името на функцията за обратно извикване parseResponse.

Сега чуждият сървър example.com може да върне следния код:

ParseResponse(( "хартия" : "A4" , "брой" : 5 ) )

Сега кодът извиква javascript функцията на първия домейн.

Идеята първоначално беше предложена в блога на MacPython през 2005 г. и в момента се използва от много Web 2.0 приложения като Dojo Toolkit Applications, Google Toolkit Applications и zanox Web Services. Предложени са допълнителни разширения на този протокол, които включват допълнителни аргументи, като например поддръжката на JSONPP за S3DB уеб услуги.

Тъй като JSONP използва скриптови тагове, обажданията по същество са отворени за света. Поради тази причина JSONP може да е неподходящ за съхраняване на чувствителни данни.

Активирането на скриптови тагове от отдалечени сайтове им позволява да предават всяко съдържание на сайта. Ако отдалеченият сайт има уязвимости, които позволяват инжектиране на Javascript, тогава оригиналният сайт също може да бъде засегнат от тях.

JSONPP (параметризиран JSON с подложка) Параметризиран JSON с подложка - развитие на идеята за JSONP

JSONPP включва URL адреса на източника, името на функцията, която ще обработва JSON данните, ред за eval след получаване на данните и ред за eval след приключване на обработката на данните:

JSON_call(SRC, JSONP, JSONPP, ONLOAD) ;

в крайна сметка се обръща

Ans = JSONP(SRC) (eval(JSONPP(ans)) ; eval(ONLOAD) ;)

По принцип броят на параметрите не е важен за самата идея JSONPP. SRC, JSONP, JSONPP (и тяхната обработка от страната на сървъра и след това от страната на клиента) са достатъчни, за да бъде JSONPP.

Нека да разгледаме примера за работа с услугата S3DB.

Функция s3db_jsonpp_call(src, next_eval) ( var call = "call_" + Math .random () .toString () .replace (/\./g, "" ) ; var headID = document.getElementsByTagName ("head" ) [ 0 ] ; var script = document.createElement ("script" ); script.id = call; script.type = "text/javascript" ; // използване на подплатен, параметризиран json src = src+ "&format=json&jsonp=s3db_jsonpp&jsonpp=" + next_eval+ "&onload=remove_element_by_id("" + script.id + "")" ; script.src = src; headID.appendChild (скрипт) ; // извличане на отговор ) функция s3db_jsonpp(ans, jsonpp) ( eval(jsonpp) ; връщане ans ; ) функция remove_element_by_id(id) ( var e = document.getElementById (id) ; e.parentNode .removeChild (e) ; return false ; )

В примера функцията s3db_jsonpp_call() създава скриптов елемент в DOM в заглавната част, чийто src съответства на JSONPP извикването.

След получаване на отговор от сървъра ще бъде извикан s3db_jsonpp() - той се предава в параметрите на извикването, както трябва да бъде според правилата на JSONP.

Вътре s3db_jsonpp() eval(jsonpp) ще задейства и ще върне стойността ans.

Извикването на eval(onload) води до изпълнение на remove_element_by_id() с идентификатора на създадения скрипт в главата и в крайна сметка до изтриването му, тъй като той така или иначе няма да бъде използван, тъй като идентификаторът в примера е генериран на случаен принцип в самото начало на функцията s3db_jsonpp_call(). Това обаждане е в отговора на сървъра.

Стандартът JSON не поддържа препратки към обекти, но Dojo Toolkit демонстрира как стандартният JSON може да поддържа такива препратки, използвайки допълнителни конвенции. По-специално, модулът dojox.json.ref осигурява поддръжка за няколко форми на връзки, включително кръгови, множествени, междудокументни и мързеливи връзки.

• Начална страница в официален формат на руски език
• json.js, json2.js е библиотека, разработена от Дъглас Крокфорд за работа с JSON данни в JavaScript. Разширява обект с метода toJSONString, който след това присъства във всеки обект, и го преобразува в низ във формат JSON.
• json-rpc.org (английски)

Променливите, масивите и обектите са позната и удобна форма за представяне на данни. Обичайно е данните да се описват в езика на браузъра JavaScript, който не е необходим в езика на PHP сървъра. Форматът JSON ви позволява да ги обобщите в едно цяло и да не се фокусирате върху езика за програмиране. В този случай данните се превръщат в двойки: „име = стойност“. Стойността във всяка от тях може да бъде и колекция от такива двойки.

Обичайно е JSON да се свързва с фигурни скоби и последното е напълно оправдано, тъй като форматът JSON = JavaScript Object Notation. Много се промени през последните особено динамични години. Създаденото с определена цел често носи неочаквани резултати или отваря нови хоризонти.

Технологията AJAX се превърна в традиционна, редовно опресняване на страницата изцялое престанал да бъде популярен. Посетител, отваряйки сайт, инициира серия от частичен обмен на данни, когато определени страници се променят само на мястото, което е подходящо.

Смята се, че появата на JSON е свързана с използването на AJAX, но всъщност асоциативността и нейната обектна нотация (характеристики на синтаксиса за описание и използване на обекти) имат много по-свързана връзка с JSON, отколкото обменът на данни между браузъра и сървъра.

Тъй като съдържанието на страниците на съвременните сайтове наистина стана „масивно“ (обемно), ефективността на формата за обмен на данни придоби особено значение. Това не означава, че JSON се е превърнал в ново представяне на данни, но фактът, че той отдавна е елемент от синтаксиса на JavaScript, е важен.

Използването на кирилица при именуване на променливи е много неочаквано явление (глупости), но работи в най-новите версии на Chrome, Firefox и дори Internet Explorer 11.

Разбира се, няма смисъл да се използва това напълно неочаквано явление, като се помни колко лесно стойностите на променливите, написани с руски букви, се превръщат в безсмислици: какво можем да кажем за имената, особено външните.

Съмнително е инициативата за имена на кирилица да бъде подкрепена от външната среда на браузъра, с която той непрекъснато трябва да се справя. Но този факт заслужава внимание поради простата причина, че форматът JSON е възможността да се пишат имена и стойности, както желае разработчикът. Това е важно, тъй като във всяка задача описанието на областта на приложението, както го изисква, значително опростява отстраняването на грешки и намалява броя на грешките.

Няма значение каква точно е била основата на синтактичната иновация - JSON, важно е, че тя е дала законно право и реална възможност да се зададе съответствието: "всяко име = всяка стойност".

Трябва да отдадем почит на езика на JavaScript: това, което се предоставя от синтаксиса, не задължава разработчика и не му налага нищо. Разработчикът свободно използва синтаксиса на езика, за да формира оптимално модел на данни и алгоритъм за тяхното използване.

Като приема данни във формат JSON, сървърът (по-специално чрез PHP) предоставя възможността да ги обработва такива, каквито са, и да връща резултата обратно на браузъра в подобен формат. PHP изходен масив:

• $cJSON = масив ("a"=> "алфа", "b"=> "бета", "g"=> "гама").

Конвертирайте в JSON за доставка до браузъра:

• $cJS = json_encode($cJSON).

Резултат:

• ("a":"алфа","b":"бета","g":"гама").

Показаното на снимката влагане е разрешено.

Тук генерираният масив беше добавен с нов елемент „в себе си“ с автоматичен индекс „0“, а след това отново с посочения индекс „z“.

Json_decode() преобразува JSON низ в PHP масив. Подобни резултати могат да бъдат постигнати чрез манипулиране на функции и explode(). В някои случаи този вариант е за предпочитане.

Елементите могат да бъдат вложени както от страната на браузъра, така и от страната на сървъра. На практика форматът JSON (стандартно описание RFC 4627) осигурява значително повече от 4 нива на влагане, но с тази функция не трябва да се злоупотребява.

Най-добре е никога да не надхвърляте разумната достатъчност; това прави кода четим, което го прави по-лесен за отстраняване на грешки и разбиране за други разработчици.

JSON обикновено се нарича конструкции от данни, които са по-прости от XML и разбираеми както за хората, така и за компютрите. Това е вярно, когато количеството данни е малко и разработчикът е избрал разумно нивото на влагане. Във всички останали случаи преброяването на броя на скобите и разбирането е трудно както от страна на браузъра, така и от страна на сървъра.

Използването на JSON на практика често не се ограничава до четим от човека кратък низ. Всяка конструкция на данни винаги е прагматична. В същото време JSON може да се използва ефективно както в данни за реални задачи (корпоративен персонал), така и за внедряване на временни данни (кеш на обекти).

Обикновено записът за едно лице е фамилия, собствено име, бащино име, година на раждане, специалност, образование ... и няколко други прости стойности. Дори в особено взискателни компании, записът за един човек няма да надхвърли дузина или две полета. Това е осезаемо и може да бъде поставено в низ на база данни.

Ако в една компания работят няколко души, това е едно, но ако са десетки хиляди, това е съвсем различно. Можете да продължите да използвате базата данни, но съхраняването й като файл изглежда по-практично и достъпно за използване.

JSON е обикновен текстов файл. Случаят с щатното разписание се подразбира. Винаги можете да го прочетете. Отварянето и редактирането е достъпно и във всеки текстов редактор, който няма навика да добавя собствена служебна информация към съдържанието на файла. По принцип *.json е чист текст както вътре в браузъра, така и вътре във файла - низ.

Снимката показва кеша на обекта, който формира картината, пример.

Това е пример за съдържанието на файл, генериран от сайт, който предоставя цветен 3D печат върху чаши и керамика. Естествено, имайки такъв JSON формат, решаването как да го отворите е наистина проблематично. Въпреки това, в този и подобни случаи няма проблеми с четенето на файла: PHP чете файла, анализира го и го предава на браузъра. Данните, променени от посетителя, се връщат на сървъра и се записват обратно.

В този случай на използване файлът действа като променлива, която се съхранява извън кода. Ако е необходимо, променливата получава стойност от файла и ако тя бъде променена от посетителя в диалоговия прозорец, предоставен от сайта, тогава всички промени ще бъдат записани така, както са. Няма нужда да четете и проверявате съдържанието на файла.

JSON често се използва за съхраняване и използване на служебна информация - това не е таблица с персонал и нито разработчикът, нито посетителят на сайта трябва да го виждат.

„Има време за всичко“ е класическо знание, прието като аксиома още преди появата на програмирането. „Нищо не се появява просто така“ - това се е случило и преди човекът да напише първата разбираема програма на изкуствен език.

Форматите на данни произтичат от реални нужди и се основават на постигнатото знание. HTML има свой собствен път, XML има свой собствен път, а JSON е обектна логика на JavaScript, разширена към други езици. Сравняването на един с друг не е най-доброто нещо, което можете да направите. Всеки с вкуса си.

XML се справя чудесно със задачите си и явно няма да остане в историята. И JSON беше използван до 2006 г.; просто не всеки разработчик смяташе за свое задължение да декларира определени опции за представяне на своите данни.

Има случаи в практиката, когато програми са написани на BASIC, които не използват JSON като такъв, но перфектно съхраняват двойки „име = стойност“ и ги правят достъпни за правилните алгоритми в точното време.

Навикът да работите с асоциативни масиви и обекти в JavaScript прави използването на JSON естествено и удобно. Това е наистина страхотен формат, но способността за разделяне и обединяване, манипулиране на низове и масиви има много по-дълбоки корени.

Функциите за присъединяване/разделяне на езика JavaScript и implode/explode на езика PHP ви позволяват удобно и ефективно да използвате както XML, JSON формати на данни, така и вашата собствена версия. Последният често е оптимален, докато първите два са идеални за опции за обща употреба. Ако информацията се прехвърля към друг разработчик, сървър, файл или база данни, няма по-добър начин за намиране на XML и JSON. Всички работят с тях, така че предаването/получаването на информация не изисква коментари.

Четенето и записването на данни във формат JSON в Android е не само норма, но има и много обекти, фокусирани върху работата с този конкретен формат на данни.

В този случай се използва формат JSON. Това може и да е вярно, но въпросът не е във феноменалността на социалните мрежи, а в това, че представянето на информация във формат „име = стойност“ е наистина удобно както за програмиране, така и за използване. За разлика от строгия и сложен „XML“, това е наистина удобен за хората формат.

Случва се така, че променливите трябва да бъдат описани (JavaScript) или поне трябва да се посочи начална стойност (PHP). И в двата случая променливата може много лесно да промени типа си. Езикът извършва това преобразуване автоматично, ако е необходимо.

Но защо променливата да не промени името си, да се появи по време на изпълнението на алгоритъма и да изчезне, когато вече не е необходима? Асоциативните масиви решават този проблем, но тогава, когато се използват такива относително динамични променливи, името на масива и съответните синтактични конструкции ще следват мястото, където се използват.

Това обстоятелство е особено изразено в PHP, но можете да се примирите с него, както и със символа "$" в името на променливата и комбинацията "$this->" вътре в обекта. Програмирайки едновременно на JavaScript и PHP, в началото наистина се удивлявате колко различно е всичко, но след това всичко става толкова познато и естествено...

В този пример *.docx документ е създаден с помощта на библиотеката PHPOffice/PHPWord, а масивът aProperties съдържа свойствата на този документ (автор, компания, заглавие, категория, дата на създаване...).

Вторият масив съдържа данни за страницата:

• ориентация (пейзажна или нормална);
• вертикални и хоризонтални размери;
• отстъпи (полета отляво, отгоре, отдолу, отдясно);
• горни и долни колонтитули.

Документът се генерира на сървъра, където е инсталирана библиотеката PHPOffice/PHPWord. Сайтът ви позволява да управлявате стойностите на тези масиви с помощта на JavaScript. Резултатът във формат JSON се връща обратно на сървъра и се използва в PHP алгоритми, в неговите конструкции, тоест в масиви.

Форматът JSON решава проблема с динамичните променливи. Тук можете да създавате, променяте и изтривате променливи без ненужно синтактично претрупване. Изглежда добре и се използва в JavaScript.

В този пример функцията GetOjInfo() извлича името на стойността и стойността от обект. Първоначално низовият обект JSON, присвоен на променливата ojInfo, има три елемента: име, възраст и работа. Малко по-късно се добавя променливата Status.

След първия оператор за изтриване редът ojInfo губи възрастовия елемент, след второто изтриване губи работния елемент. Ако приемем, че този низ е селекция от променливи, които имат определено значение, тогава с помощта на JSON можете действително да създавате, променяте и изтривате всякакви набори от тях извън оперативното поле (синтаксис) за описание и обработка на езика JavaScript.

Форматът JSON не е предназначен за тази опция, но е възможен, практичен и удобен.

JSON (JavaScript Object Notation) е прост формат за обмен на данни, който е лесен за четене и писане както от хора, така и от компютри. Базиран е на подмножество от езика за програмиране JavaScript, дефиниран в стандарта ECMA-262 3rd Edition - декември 1999 г. JSON е текстов формат, който е напълно независим от езика за изпълнение, но използва конвенции, познати на програмистите на C-подобни езици като C, C++, C#, Java, JavaScript, Perl, Python и много други. Тези свойства правят JSON идеален език за обмен на данни.

JSON се основава на две структури от данни:

• Колекция от двойки ключ/стойност. В различни езици тази концепция се прилага като предмет, запис, структура, речник, хеш, именуван списък или асоциативен масив.
• Подреден списък от стойности. В повечето езици това се изпълнява като масив, вектор, списък или последователност.

Това са универсални структури от данни. Почти всички съвременни езици за програмиране ги поддържат под някаква форма. Логично е да се предположи, че форматът на данните, независим от езика за програмиране, трябва да се основава на тези структури.

В JSON нотация изглежда така:

Предмет- неподреден набор от двойки ключ/стойност. Обектът започва с ( отваряща къдрава скоба и завършва с ) затваряща къдрава скоба. Всяко име е последвано от: двоеточие, двойки ключ/стойност, разделени със запетая.

Масив- подредена колекция от стойности. Масивът започва с [отворена квадратна скоба и завършва с] затваряща квадратна скоба. Стойностите са разделени със запетая.

ЗначениеМоже би линияв двойни кавички, номер, вярно , невярно , нула , обектили масив. Тези структури могат да бъдат вложени.

Линияе колекция от нула или повече Unicode символи, оградени в двойни кавички, използващи \ обратна наклонена черта като символ за екраниране. Символът е представен като низ от един знак. Подобен синтаксис се използва в C и Java.

НомерТой е представен по същия начин както в C или Java, с изключение на това, че се използва само десетичната бройна система.

Между всякакви токени могат да се използват интервали.

С изключение на някои подробности за кодирането, горното напълно описва езика.