Json firkantede parenteser. Introduktion til JSON

Selvom JSON er designet til at transmittere data i en serialiseret form, følger dens syntaks JavaScript-syntaksen, og dette skaber en række sikkerhedsproblemer. Ofte, for at behandle data modtaget fra en ekstern kilde i JSON-format, anvendes eval()-funktionen på den uden nogen foreløbig validering.

Fordi JSON ser ud til at være et syntaktisk korrekt stykke JavaScript-kode, er den enkleste måde at parse JSON-data i et JavaScript-program på at bruge den indbyggede JavaScript eval()-funktion, som er designet til at udføre JavaScript-udtryk. Med denne tilgang er der ingen grund til at bruge yderligere parsere.

Teknikken eval() gør systemet sårbart, hvis kilden til de anvendte JSON-data ikke er tillid til ( engelsk). Sådanne data kan være ondsindet JavaScript-kode til Code Injection-angreb ( engelsk). Ved at bruge denne sårbarhed er det muligt at stjæle data og forfalske godkendelse. Sårbarheden kan dog elimineres ved at bruge yderligere datavalideringsværktøjer. For eksempel, før udførelse af eval(), kan data modtaget fra en ekstern kilde valideres ved hjælp af regulære udtryk. RFC'en, der definerer JSON, foreslår at bruge følgende kode for at kontrollere, om den er i overensstemmelse med JSON-formatet

Var mit_JSON_objekt = ! (/[^,:()\[\]0-9.\-+Eaeflnr-u \n\r\t]/ .test ( text.replace (/"(\\.|[^"\\] )*"/g , "" ) ) ) && eval("(" + tekst + ")" );

Som et mere sikkert alternativ til eval() er der foreslået en ny funktion, parseJSON(), som kun kan behandle JSON-data. Det blev introduceret i version 4 af ECMAScript-standarden og er beskrevet i artiklen "JSON: A Low-Fat Alternative to XML". Det er i øjeblikket tilgængeligt som et JavaScript-bibliotek og vil blive inkluderet i den femte udgave af ECMAScript.

Nyere versioner af webbrowsere har indbygget understøttelse af JSON og er i stand til at behandle det uden at kalde eval()-funktionen, hvilket fører til det beskrevne problem. JSON-behandling er normalt hurtigere i dette tilfælde. Så i juni 2009 havde følgende browsere indbygget JSON-understøttelse:

Mindst fem populære JavaScript-biblioteker bruger inline JSON, når de er tilgængelige:

Dårlig brug af JSON gør websteder sårbare over for forfalskning af anmodninger på tværs af websteder (CSRF eller XSRF). Fordi tagget tillader brugen af ​​en kilde, der ikke tilhører det samme domæne som ressourcen, der bruger det, tillader det, at kode udføres under dække af JSON-data i sammenhæng med en vilkårlig side, hvilket gør det muligt at kompromittere adgangskoder eller andre følsomme oplysninger om brugere, der er godkendt på siden, et andet websted.

Dette ser kun ud til at være et problem, hvis JSON-dataene indeholder følsomme oplysninger, der kan blive kompromitteret af en tredjepart, og hvis serveren er afhængig af en enkelt-oprindelsespolitik ( engelsk), blokerer adgangen til data, når en ekstern anmodning detekteres. Dette er ikke et problem, hvis serveren bestemmer gyldigheden af ​​anmodningen, og leverer kun data, hvis de er korrekte. HTTP-cookies kan ikke bruges til at bestemme dette. Den eksklusive brug af HTTP-cookies bruges af forfalskning af anmodninger på tværs af websteder.

JSONP (JSON Padding) eller "JSON with padding" er en udvidelse af JSON, når navnet på en tilbagekaldsfunktion er angivet som et input-argument.

Teknologien er baseret på, at browserens sikkerhedspolitik tillader brugen af ​​tagget til at få adgang til andre servere end den server, hvorfra siden blev indlæst.

Uden at bruge JSONP-teknologi (det vil sige kun at bruge JSON-datakodning), kan serveren kun returnere data. For eksempel sådan her:

("papir": "A4", "antal": 5)

Dette er dog kun data og kan ikke påvirke browseren.

Ved at bruge JSONP-teknikken videregives navnet på tilbagekaldsfunktionen til tredjepartsserveren i opkaldslinjen (GET):

Her indeholder jsonp-parameteren navnet på tilbagekaldsfunktionen parseResponse.

Nu kan den udenlandske server example.com returnere følgende kode:

ParseResponse(( "paper" : "A4" , "count" : 5 ) )

Koden kalder nu det første domænes javascript-funktion.

Ideen blev oprindeligt foreslået på MacPython-bloggen i 2005 og bruges i øjeblikket af mange Web 2.0-applikationer såsom Dojo Toolkit Applications, Google Toolkit Applications og zanox Web Services. Yderligere udvidelser til denne protokol er blevet foreslået for at inkludere yderligere argumenter, såsom JSONPPs understøttelse af S3DB-webtjenester.

Fordi JSONP bruger script-tags, er opkald i det væsentlige åbne for verden. Af denne grund kan JSONP være uegnet til lagring af følsomme data.

Aktivering af script-tags fra eksterne websteder giver dem mulighed for at overføre alt indhold på webstedet. Hvis det eksterne websted har sårbarheder, der tillader Javascript-injektion, kan det oprindelige websted også blive påvirket af dem.

JSONPP (parameteriseret JSON med polstring) Parameteriseret JSON med polstring - udvikling af JSONP-ideen

JSONPP inkluderer kilde-URL'en, navnet på den funktion, der skal behandle JSON-dataene, en linje til eval efter modtagelse af dataene og en linje til eval efter endt behandling af dataene:

JSON_call(SRC, JSONP, JSONPP, ONLOAD);

vender til sidst om

Ans = JSONP(SRC) ( eval(JSONPP(ans) ); eval(ONLOAD) ; )

Generelt er antallet af parametre ikke vigtigt for selve JSONPP-ideen. SRC, JSONP, JSONPP (og deres behandling på serversiden og derefter på klientsiden) er nok til at det er JSONPP.

Lad os se på eksemplet med at arbejde med S3DB-tjenesten.

Funktion s3db_jsonpp_call(src, next_eval) ( var call = "call_" + Math .random () .toString () .replace (/\./g, "" ); var headID = document.getElementsByTagName ("head") [ 0 ] ; var script = document.createElement ("script" ); script.id = call; script.type = "text/javascript" ; // ved hjælp af polstret, parameteriseret json src = src+ "&format=json&jsonp=s3db_jsonpp&jsonpp=" + next_eval+ "&onload=remove_element_by_id("" + script.id + "")" ; script.src = src; headID.appendChild (script) ; // hente svar ) funktion s3db_jsonpp(ans, jsonpp) ( eval(jsonpp); return ans ; ) funktion remove_element_by_id(id) ( var e = document.getElementById (id) ; e.parentNode .removeChild (e) ; return false ; )

I eksemplet opretter funktionen s3db_jsonpp_call() et script-element i DOM i head-delen, hvis src svarer til JSONPP-kaldet.

Efter at have modtaget et svar fra serveren vil s3db_jsonpp() blive kaldt - det sendes i opkaldsparametrene, som det skal være ifølge JSONP regler.

Inde i s3db_jsonpp() vil eval(jsonpp) udløse og returnere værdien ans.

Kaldning af eval(onload) fører til udførelse af remove_element_by_id() med id'et for det oprettede script i hovedet og i sidste ende til dets sletning, fordi det alligevel ikke vil blive brugt, da id'et i eksemplet blev genereret tilfældigt i begyndelsen af funktionen s3db_jsonpp_call() . Dette opkald er i serversvaret.

JSON-standarden understøtter ikke objektreferencer, men Dojo Toolkit demonstrerer, hvordan standard JSON kan understøtte sådanne referencer ved hjælp af yderligere konventioner. Især dojox.json.ref-modulet understøtter flere former for links, herunder cirkulære, multiple, inter-dokument og dovne links.

• Hjemmeside i officielt format på russisk
• json.js, json2.js er et bibliotek udviklet af Douglas Crockford til at arbejde med JSON-data i JavaScript. Udvider et objekt med toJSONString-metoden, som derefter er til stede i ethvert objekt, og konverterer det til en JSON-formatstreng.
• json-rpc.org (engelsk)

Variabler, arrays og objekter er en velkendt og bekvem form for datarepræsentation. Det er sædvanligt at beskrive data i browsersproget JavaScript, hvilket ikke er nødvendigt i PHP-serversproget. JSON-formatet giver dig mulighed for at opsummere dem i én helhed og ikke fokusere på programmeringssproget. I dette tilfælde bliver dataene til par: "navn = værdi". Værdien i hver af dem kan også være en samling af sådanne par.

Det er sædvanligt at forbinde JSON med krøllede seler, og sidstnævnte er ret berettiget, da JSON-formatet = JavaScript Object Notation. Meget har ændret sig i de seneste særligt dynamiske år. Det, der blev skabt til et bestemt formål, gav ofte uventede resultater eller åbnede nye horisonter.

AJAX-teknologi er blevet traditionel, regelmæssig sideopdatering helt er holdt op med at være populær. En besøgende, der åbner et websted, starter en række delvise dataudvekslinger, når visse sider kun ændres på det sted, der er relevant.

Det menes, at fremkomsten af ​​JSON er forbundet med brugen af ​​AJAX, men faktisk har associativ og dens objektnotation (funktioner i syntaksen til beskrivelse og brug af objekter) et meget mere relateret forhold til JSON end udveksling af data mellem browseren og serveren.

Siden indholdet af siderne på moderne websteder virkelig er blevet "massivt" (voluminøst), har effektiviteten af ​​formatet til dataudveksling fået særlig betydning. Dette er ikke for at sige, at JSON er blevet en ny datarepræsentation, men det faktum, at det længe har været et element i JavaScript-syntaks, er væsentligt.

Brugen af ​​kyrillisk i navngivning af variabler er et meget uventet fænomen (nonsens), men det virker i de nyeste versioner af Chrome, Firefox og endda Internet Explorer 11.

Selvfølgelig er der ingen mening i at bruge dette helt uventede fænomen og huske, hvor let værdierne af variabler skrevet med russiske bogstaver bliver til volapyk: hvad kan vi sige om navne, især eksterne.

Det er tvivlsomt, om initiativet i kyrilliske navne vil blive understøttet af browserens eksterne miljø, som det hele tiden skal forholde sig til. Men dette faktum fortjener opmærksomhed af den simple grund, at JSON-formatet er evnen til at skrive navne og værdier, som udvikleren ønsker. Dette er vigtigt, da beskrivelsen af ​​applikationsområdet, som det kræver det, i hver opgave forenkler fejlfindingen betydeligt og reducerer antallet af fejl.

Det er lige meget hvad grundlaget for den syntaktiske innovation - JSON - var, det er vigtigt, at det gav den juridiske ret og den reelle mulighed for at sætte korrespondancen: "ethvert navn = enhver værdi."

Vi skal hylde JavaScript-sproget: det, der leveres af syntaksen, forpligter ikke udvikleren og pålægger ham ikke noget. Udvikleren bruger frit sprogsyntaksen til optimalt at danne en datamodel og en algoritme til deres brug.

Ved at acceptere data i JSON-format giver serveren (via PHP, især) mulighed for at behandle dem som de er og returnere resultatet tilbage til browseren i et lignende format. PHP kilde array:

• $cJSON = array ("a"=> "alfa", "b"=> "beta", "g"=> "gamma").

Konverter til JSON til levering til browser:

• $cJS = json_encode($cJSON).

Resultat:

• ("a":"alfa","b":"beta","g":"gamma").

Redningen vist på billedet er tilladt.

Her blev det genererede array tilføjet med et nyt element "i sig selv" med det automatiske indeks "0", og derefter igen med det angivne indeks "z".

Json_decode() konverterer en JSON-streng til et PHP-array. Lignende resultater kan opnås ved at manipulere funktioner og eksplodere(). I nogle tilfælde er denne mulighed at foretrække.

Elementer kan indlejres både på browsersiden og på serversiden. I praksis giver JSON-formatet (RFC 4627 standardbeskrivelse) betydeligt mere end 4 niveauer af indlejring, men denne funktion bør ikke misbruges.

Det er bedst aldrig at gå ud over rimelig tilstrækkelighed; dette gør koden læsbar, hvilket gør det lettere at fejlsøge og forstå for andre udviklere.

JSON omtales almindeligvis som datakonstruktioner, der er enklere end XML og forståelige for både mennesker og computere. Dette gælder, når mængden af ​​data er lille, og udvikleren har valgt indlejringsniveauet med omhu. I alle andre tilfælde er det svært at tælle antallet af parenteser og forstå både på browsersiden og på serversiden.

Brugen af ​​JSON i praksis er ofte ikke begrænset til en kort streng, der kan læses af mennesker. Enhver datakonstruktion er altid pragmatisk. Samtidig kan JSON effektivt bruges både i reelle opgavedata (virksomhedspersonale) og til implementering af midlertidige data (objektcache).

Normalt er en optegnelse om én person et efternavn, fornavn, patronym, fødselsår, speciale, uddannelse, ... og et par andre simple værdier. Selv i særligt krævende virksomheder vil en rekord på én person ikke overstige et dusin eller to felter. Dette er mærkbart og kan placeres i en databasestreng.

Hvis en virksomhed beskæftiger flere personer, er det én ting, men hvis der er titusindvis, er det helt anderledes. Du kan fortsætte med at bruge databasen, men at gemme den som en fil virker mere praktisk og tilgængelig at bruge.

JSON er en almindelig tekstfil. Sagen med bemandingsbordet siger sig selv. Du kan altid læse den. Åbning og redigering er også tilgængelig i enhver teksteditor, der ikke har for vane at tilføje sine egne serviceoplysninger til indholdet af filen. Generelt er *.json ren tekst både inde i browseren og inde i filen - en streng.

Billedet viser cachen for det objekt, der danner billedet, et eksempel.

Dette er et eksempel på indholdet af en fil, der er genereret af et websted, der leverer 3D-farveprint på krus og keramik. Naturligvis er det virkelig problematisk at have sådan et JSON-format, at beslutte, hvordan man åbner det. Men i dette og lignende tilfælde er der ingen problemer med at læse filen: PHP læser filen, analyserer den og sender den til browseren. De data, der ændres af den besøgende, returneres til serveren og skrives tilbage.

I dette tilfælde fungerer filen som en variabel, der er gemt uden for koden. Variablen modtager om nødvendigt en værdi fra filen, og hvis den ændres af den besøgende i dialogen fra siden, så vil alle ændringer blive registreret som de er. Der er ingen grund til at læse og kontrollere indholdet af filen.

JSON bruges ofte til at gemme og bruge serviceoplysninger - dette er ikke en personaletabel, og hverken udvikleren eller den besøgende behøver at se den.

"Der er en tid for alt" er en klassisk viden, der accepteres som et aksiom allerede før programmeringens fremkomst. "Intet dukker bare op" - dette skete også før mennesket skrev det første forståelige program på et kunstigt sprog.

Dataformater udspringer af reelle behov og er baseret på opnået viden. HTML har sin egen sti, XML har sin egen sti, og JSON er JavaScript-objektlogik udvidet til andre sprog. At sammenligne en med en anden er ikke den bedste ting at gøre. Til hver sit.

XML klarer sine opgaver fantastisk og kommer tydeligvis ikke til at blive historie. Og JSON blev brugt indtil 2006; det er bare, at ikke alle udviklere anså det for sin pligt at erklære visse muligheder for at repræsentere deres data.

Der har været tilfælde i praksis, hvor programmer blev skrevet i BASIC, der ikke brugte JSON som sådan, men perfekt gemte "navn = værdi"-par og gjorde dem tilgængelige for de rigtige algoritmer på det rigtige tidspunkt.

Vanen med at arbejde med associative arrays og objekter i JavaScript gør det naturligt og bekvemt at bruge JSON. Dette er et rigtig godt format, men evnen til at adskille og forbinde, manipulere strenge og arrays, har meget dybere rødder.

Join/split-funktionerne i JavaScript-sproget og implode/explode af PHP-sproget giver dig mulighed for bekvemt og effektivt at bruge både XML, JSON-dataformater og din egen version. Sidstnævnte er ofte optimalt, mens de to første er ideelle til generelle brugsmuligheder. Hvis information bliver overført til en anden udvikler, server, fil eller database, er der ingen bedre måde at finde XML og JSON på. Alle arbejder med dem, så overførsel/modtagelse af information kræver ikke kommentarer.

At læse og skrive data i JSON-format i Android er ikke kun normen, men der er også mange objekter, der fokuserer på at arbejde med netop dette dataformat.

I dette tilfælde bruges JSON-formatet. Dette kan være sandt, men spørgsmålet er ikke fænomenaliteten af ​​sociale netværk, men det faktum, at præsentation af information i formatet "navn = værdi" er virkelig praktisk både til programmering og brug. I modsætning til det strenge og komplekse "XML" er dette virkelig et menneskevenligt format.

Det sker, at variabler skal beskrives (JavaScript), eller i det mindste skal en begyndelsesværdi angives (PHP). I begge tilfælde kan variablen meget nemt ændre sin type. Sproget udfører denne konvertering automatisk, hvis det er nødvendigt.

Men hvorfor skulle variablen ikke også skifte navn, dukke op under udførelsen af ​​algoritmen og forsvinde, når den ikke længere er nødvendig? Associative arrays løser dette problem, men når man så bruger sådanne relativt dynamiske variable, vil arraynavnet og de tilsvarende syntaktiske konstruktioner følge, hvor de bruges.

Denne omstændighed er især udtalt i PHP, men du kan affinde dig med det, som faktisk med "$"-symbolet i variabelnavnet og "$this->"-kombinationen inde i objektet. Programmering i JavaScript og PHP på samme tid, først bliver man virkelig overrasket over, hvor forskelligt alt er, men så bliver alt så velkendt og naturligt...

I dette eksempel oprettes et *.docx-dokument ved hjælp af PHPOffice/PHPWord-biblioteket, og aProperties-arrayet indeholder egenskaberne for dette dokument (forfatter, firma, titel, kategori, oprettelsesdato...).

Det andet array indeholder data for siden:

• orientering (landskab eller normal);
• lodrette og vandrette dimensioner;
• indrykninger (margener venstre, top, bund, højre);
• sidehoveder og sidefødder.

Dokumentet genereres på den server, hvor PHPOffice/PHPWord-biblioteket er installeret. Siden giver dig mulighed for at administrere værdierne af disse arrays ved hjælp af JavaScript. Resultatet i JSON-format returneres tilbage til serveren og bruges i PHP-algoritmer, i dets konstruktioner, det vil sige i arrays.

JSON-formatet løser problemet med dynamiske variable. Her kan du oprette, ændre og slette variabler uden unødvendigt syntaktisk rod. Det ser pænt ud og bruges i JavaScript.

I dette eksempel henter funktionen GetOjInfo() værdiens navn og værdi fra et objekt. I første omgang har JSON-strengobjektet, der er tildelt til variablen ojInfo, tre elementer: Navn, alder og arbejde. Lidt senere tilføjes Status-variablen.

Efter den første delete-operator mister ojInfo-linjen alderselementet, efter den anden sletning mister den arbejdselementet. Hvis vi antager, at denne streng er et udvalg af variabler, der har en bestemt betydning, så ved hjælp af JSON kan du faktisk oprette, ændre og slette ethvert sæt af dem uden for det operationelle felt (syntaks) til at beskrive og behandle JavaScript-sproget.

JSON-formatet er ikke designet til denne mulighed, men det er muligt, praktisk og praktisk.

JSON (JavaScript Object Notation) er et simpelt dataudvekslingsformat, der er nemt at læse og skrive af både mennesker og computere. Det er baseret på en delmængde af JavaScript-programmeringssproget, defineret i standarden ECMA-262 3rd Edition - December 1999. JSON er et tekstformat, der er fuldstændig uafhængigt af implementeringssproget, men det bruger konventioner, der er kendt for programmører af C-lignende sprog, såsom C, C++, C#, Java, JavaScript, Perl, Python og mange andre. Disse egenskaber gør JSON til et ideelt dataudvekslingssprog.

JSON er baseret på to datastrukturer:

• En samling af nøgle/værdi-par. På forskellige sprog er dette koncept implementeret som et objekt, post, struktur, ordbog, hash, navngiven liste eller associativ array.
• En ordnet liste over værdier. På de fleste sprog er dette implementeret som array, vektor, liste eller sekvens.

Disse er universelle datastrukturer. Næsten alle moderne programmeringssprog understøtter dem i en eller anden form. Det er logisk at antage, at et dataformat, uafhængigt af programmeringssproget, skal baseres på disse strukturer.

I JSON-notation ser det sådan ud:

Et objekt- et uordnet sæt nøgle/værdi-par. Et objekt begynder med ( en åbnende krøllet bøjle og slutter med en ) lukkende krøllet bøjle. Hvert navn efterfølges af: et kolon, nøgle/værdi-par adskilt af et komma.

Array- en ordnet samling af værdier. Arrayet begynder med en [ åben firkantet parentes og slutter med ] en afsluttende firkantet parentes. Værdier er adskilt med komma.

Betyder Måske linje i dobbelte anførselstegn, nummer, sand , falsk , null , objekt eller array. Disse strukturer kan indlejres.

Linje er en samling af nul eller flere Unicode-tegn, omgivet af dobbelte anførselstegn, der bruger \ omvendt skråstreg som escape-tegn. Tegnet er repræsenteret som en streng på ét tegn. Lignende syntaks bruges i C og Java.

Nummer Det er repræsenteret på samme måde som i C eller Java, bortset fra at kun decimaltalsystemet bruges.

Mellemrum kan bruges mellem alle tokens.

Bortset fra nogle kodningsdetaljer, beskriver ovenstående fuldstændigt sproget.