Json firkantede parenteser. Introduksjon til JSON

Selv om JSON er designet for å overføre data i en serialisert form, følger syntaksen JavaScript-syntaksen, og dette skaper en rekke sikkerhetsproblemer. Ofte, for å behandle data mottatt fra en ekstern kilde i JSON-format, brukes eval()-funksjonen på den uten noen foreløpig validering.

Fordi JSON ser ut til å være en syntaktisk korrekt del av JavaScript-kode, er den enkleste måten å analysere JSON-data i et JavaScript-program på å bruke den innebygde JavaScript eval()-funksjonen, som er designet for å utføre JavaScript-uttrykk. Med denne tilnærmingen er det ikke nødvendig å bruke flere parsere.

Teknikken eval() gjør systemet sårbart hvis kilden til JSON-dataene som brukes ikke er klarert ( engelsk). Slike data kan være skadelig JavaScript-kode for kodeinjeksjonsangrep ( engelsk). Ved å bruke denne sårbarheten er det mulig å stjele data og forfalske autentisering. Imidlertid kan sårbarheten elimineres ved å bruke ytterligere datavalideringsverktøy. For eksempel, før du kjører eval(), kan data mottatt fra en ekstern kilde valideres ved hjelp av regulære uttrykk. RFC-en som definerer JSON foreslår å bruke følgende kode for å sjekke om den samsvarer med JSON-formatet

Var my_JSON_object = ! (/[^,:()\[\]0-9.\-+Eaeflnr-u \n\r\t]/ .test ( text.replace (/"(\\.|[^"\\] )*"/g , "" ) ) ) && eval("(" + tekst + ")" ) ;

Som et sikrere alternativ til eval(), er det foreslått en ny funksjon, parseJSON(), som kun kan behandle JSON-data. Den ble introdusert i versjon 4 av ECMAScript-standarden og er beskrevet i artikkelen "JSON: A Low-Fat Alternative to XML". Det er for øyeblikket tilgjengelig som et JavaScript-bibliotek og vil bli inkludert i den femte utgaven av ECMAScript.

Nyere versjoner av nettlesere har innebygd støtte for JSON og er i stand til å behandle den uten å kalle opp eval()-funksjonen, noe som fører til det beskrevne problemet. JSON-behandling er vanligvis raskere i dette tilfellet. Så i juni 2009 hadde følgende nettlesere innebygd JSON-støtte:

Minst fem populære JavaScript-biblioteker bruker inline JSON når det er tilgjengelig:

Dårlig bruk av JSON gjør nettsteder sårbare for forfalskning av forespørsler på tvers av nettsteder (CSRF eller XSRF). Fordi taggen tillater bruk av en kilde som ikke tilhører samme domene som ressursen som bruker den, tillater den å kjøre kode som JSON-data i sammenheng med en vilkårlig side, noe som gjør det mulig å kompromittere passord eller annen sensitiv informasjon av brukere som er autentisert på et annet nettsted.

Dette ser bare ut til å være et problem hvis JSON-dataene inneholder sensitiv informasjon som kan bli kompromittert av en tredjepart og hvis serveren er avhengig av en enkeltopprinnelsespolicy ( engelsk), blokkerer tilgang til data når en ekstern forespørsel oppdages. Dette er ikke et problem hvis serveren bestemmer gyldigheten av forespørselen, og gir kun data hvis de er riktige. HTTP-informasjonskapsler kan ikke brukes til å fastslå dette. Den eksklusive bruken av HTTP-informasjonskapsler brukes av forfalskning av forespørsler på tvers av nettsteder.

JSONP (JSON Padding) eller "JSON with padding" er en utvidelse av JSON når navnet på en tilbakeringingsfunksjon er spesifisert som et input-argument.

Teknologien er basert på at nettleserens sikkerhetspolicy tillater bruk av taggen for å få tilgang til andre servere enn serveren siden ble lastet fra.

Uten å bruke JSONP-teknologi (det vil si å bruke bare JSON-datakoding), kan serveren bare returnere data. For eksempel slik:

("papir": "A4", "antall": 5)

Dette er imidlertid kun data og kan ikke påvirke nettleseren.

Ved å bruke JSONP-teknikken sendes navnet på tilbakeringingsfunksjonen til tredjepartsserveren i anropslinjen (GET):

Her inneholder jsonp-parameteren navnet på tilbakeringingsfunksjonen parseResponse.

Nå kan den utenlandske serveren example.com returnere følgende kode:

ParseResponse(( "papir" : "A4" , "telling" : 5 ) )

Koden kaller nå det første domenets javascript-funksjon.

Ideen ble opprinnelig foreslått på MacPython-bloggen i 2005, og brukes for tiden av mange Web 2.0-applikasjoner som Dojo Toolkit-applikasjoner, Google Toolkit-applikasjoner og zanox Web Services. Ytterligere utvidelser til denne protokollen har blitt foreslått for å inkludere ytterligere argumenter, for eksempel JSONPPs støtte for S3DB-webtjenester.

Fordi JSONP bruker skriptkoder, er samtaler i hovedsak åpne for verden. Av denne grunn kan JSONP være uegnet for lagring av sensitive data.

Aktivering av skriptkoder fra eksterne nettsteder lar dem overføre alt innhold på nettstedet. Hvis det eksterne nettstedet har sårbarheter som tillater Javascript-injeksjon, kan det opprinnelige nettstedet også bli påvirket av dem.

JSONPP (parameterisert JSON med polstring) Parameterisert JSON med polstring - utvikling av JSONP-ideen

JSONPP inkluderer kilde-URLen, navnet på funksjonen som skal behandle JSON-dataene, en linje for eval etter mottak av dataene og en linje for eval etter endt behandling av dataene:

JSON_call(SRC, JSONP, JSONPP, ONLOAD) ;

snur seg til slutt

Ans = JSONP(SRC) ( eval(JSONPP(ans) ); eval(ONLOAD) ; )

Generelt er ikke antall parametere viktig for selve JSONPP-ideen. SRC, JSONP, JSONPP (og deres behandling på serversiden og deretter på klientsiden) er nok til at det er JSONPP.

La oss se på eksempelet på å jobbe med S3DB-tjenesten.

Funksjon s3db_jsonpp_call(src, next_eval) ( var call = "call_" + Math .random () .toString () .replace (/\./g, "" ); var headID = document.getElementsByTagName ("head") [ 0 ] ; var script = document.createElement ("script" ) ; script.id = kall script.type = "text/javascript" ; &onload=remove_element_by_id("" + script.id + "")" ; script.src = src; headID.appendChild (script) ; // hente svar ) funksjon s3db_jsonpp(ans, jsonpp) ( eval(jsonpp); return ans ; ) funksjon remove_element_by_id(id) ( var e = document.getElementById (id) ; e.parentNode .removeChild (e) ; return false ; )

I eksemplet oppretter s3db_jsonpp_call()-funksjonen et skriptelement i DOM i hodedelen, hvis src tilsvarer JSONPP-kallet.

Etter å ha mottatt et svar fra serveren vil s3db_jsonpp() bli kalt - det sendes i kalleparameterne, slik det skal være i henhold til JSONP-reglene.

Inne i s3db_jsonpp() vil eval(jsonpp) utløses og returnere verdien ans.

Å kalle eval(onload) fører til kjøring av remove_element_by_id() med ID-en til det opprettede skriptet i hodet og til slutt til sletting, fordi det uansett ikke vil bli brukt siden ID-en i eksemplet ble generert tilfeldig helt i begynnelsen av s3db_jsonpp_call()-funksjonen. Dette kallet er i serversvaret.

JSON-standarden støtter ikke objektreferanser, men Dojo Toolkit viser hvordan standard JSON kan støtte slike referanser ved hjelp av tilleggskonvensjoner. Spesielt gir dojox.json.ref-modulen støtte for flere former for lenker, inkludert sirkulære, multiple, inter-dokument og late lenker.

• Offisiell hjemmeside i formatet på russisk
• json.js, json2.js er et bibliotek utviklet av Douglas Crockford for å jobbe med JSON-data i JavaScript. Utvider et objekt med toJSONString-metoden, som deretter er til stede i ethvert objekt, og konverterer det til en JSON-formatstreng.
• json-rpc.org (engelsk)

Variabler, matriser og objekter er en kjent og praktisk form for datarepresentasjon. Det er vanlig å beskrive data i JavaScript-nettleserspråket, som ikke er nødvendig i PHP-serverspråket. JSON-formatet lar deg oppsummere dem i én helhet og ikke fokusere på programmeringsspråket. I dette tilfellet blir dataene til par: "navn = verdi". Verdien i hver av dem kan også være en samling av slike par.

Det er vanlig å assosiere JSON med krøllete bukseseler og sistnevnte er ganske berettiget, siden JSON-formatet = JavaScript Object Notation. Mye har endret seg de siste spesielt dynamiske årene. Det som ble skapt for et bestemt formål ga ofte uventede resultater eller åpnet nye horisonter.

AJAX-teknologi har blitt tradisjonell, vanlig sideoppdatering fullstendig har sluttet å være populær. En besøkende, som åpner et nettsted, setter i gang en serie delvise datautvekslinger, når visse sider bare endres på det stedet som er relevant.

Det antas at fremveksten av JSON er assosiert med bruken av AJAX, men faktisk har assosiativ og dens objektnotasjon (funksjoner i syntaksen for å beskrive og bruke objekter) et mye mer relatert forhold til JSON enn utveksling av data mellom nettleseren og serveren.

Siden innholdet på sidene til moderne nettsteder virkelig har blitt "massivt" (voluminøst), har effektiviteten til formatet for datautveksling fått spesiell betydning. Dette er ikke å si at JSON har blitt en ny datarepresentasjon, men det faktum at det lenge har vært et element i JavaScript-syntaks er betydelig.

Bruken av kyrillisk i navngiving av variabler er et veldig uventet fenomen (tull), men det fungerer i de nyeste versjonene av Chrome, Firefox og til og med Internet Explorer 11.

Selvfølgelig er det ingen vits i å bruke dette helt uventede fenomenet, og huske hvor lett verdiene til variabler skrevet med russiske bokstaver blir til vrøvl: hva kan vi si om navn, spesielt eksterne.

Det er tvilsomt at initiativet i kyrilliske navn vil bli støttet av det eksterne miljøet til nettleseren, som det hele tiden må forholde seg til. Men dette faktum fortjener oppmerksomhet av den enkle grunn at JSON-formatet er muligheten til å skrive navn og verdier som utvikleren ønsker. Dette er viktig, siden beskrivelsen av applikasjonsområdet slik den krever det i hver oppgave forenkler feilsøkingen betydelig og reduserer antall feil.

Det spiller ingen rolle hva nøyaktig grunnlaget for den syntaktiske innovasjonen - JSON - var, det er viktig at det ga den juridiske retten og den reelle muligheten til å sette korrespondansen: "ethvert navn = enhver verdi."

Vi må hylle JavaScript-språket: det som leveres av syntaksen forplikter ikke utvikleren og pålegger ham ikke noe. Utvikleren bruker fritt språksyntaksen for optimalt å danne en datamodell og en algoritme for deres bruk.

Ved å akseptere data i JSON-format, gir serveren (via PHP, spesielt) muligheten til å behandle dem som de er og returnere resultatet tilbake til nettleseren i et lignende format. PHP-kildearray:

• $cJSON = array ("a"=> "alfa", "b"=> "beta", "g"=> "gamma").

Konverter til JSON for levering til nettleser:

• $cJS = json_encode($cJSON).

Resultat:

• ("a":"alfa","b":"beta","g":"gamma").

Hekkingen vist på bildet er tillatt.

Her ble den genererte matrisen lagt til med et nytt element "i seg selv" med den automatiske indeksen "0", og deretter igjen med den spesifiserte indeksen "z".

Json_decode() konverterer en JSON-streng til en PHP-array. Lignende resultater kan oppnås ved å manipulere funksjoner og eksplodere(). I noen tilfeller er dette alternativet å foretrekke.

Elementer kan nestes både på nettlesersiden og på serversiden. I praksis gir JSON-formatet (RFC 4627 standardbeskrivelse) betydelig mer enn 4 nivåer av hekking, men denne funksjonen bør ikke misbrukes.

Det er best å aldri gå utover rimelig nok dette gjør koden lesbar, noe som gjør det lettere å feilsøke og forstå for andre utviklere.

JSON blir ofte referert til som datakonstruksjoner som er enklere enn XML og forståelige for både mennesker og datamaskiner. Dette gjelder når datamengden er liten og utvikleren har valgt hekkenivå med omhu. I alle andre tilfeller er det vanskelig å telle antall parenteser og forstå både på nettlesersiden og på serversiden.

Bruken av JSON i praksis er ofte ikke begrenset til en merkbar kort streng. Enhver datakonstruksjon er alltid pragmatisk. Samtidig kan JSON effektivt brukes både i reelle oppgavedata (bedriftspersonale) og for implementering av midlertidige data (objektbuffer).

Vanligvis er en post om én person et etternavn, fornavn, patronym, fødselsår, spesialitet, utdanning, ... og noen andre enkle verdier. Selv i spesielt krevende selskaper vil en rekord på én person ikke overstige et dusin eller to felt. Dette er merkbart og kan plasseres i en databasestreng.

Hvis en bedrift sysselsetter flere er dette én ting, men er det titusener er dette en helt annen. Du kan fortsette å bruke databasen, men å lagre den som en fil virker mer praktisk og tilgjengelig å bruke.

JSON er en ren tekstfil. Saken med bemanningsbordet sier seg selv. Du kan alltid lese den. Åpne og rediger er også tilgjengelig i alle tekstredigerere som ikke har for vane å legge til sin egen tjenesteinformasjon til innholdet i filen. Generelt er *.json ren tekst både inne i nettleseren og inne i filen - en streng.

Bildet viser cachen til objektet som danner bildet, et eksempel.

Dette er et eksempel på innholdet i en fil generert av et nettsted som tilbyr 3D-fargeutskriftstjenester på krus og keramiske produkter. Naturligvis, å ha et slikt JSON-format, er det veldig problematisk å bestemme hvordan det skal åpnes. Men i dette og lignende tilfeller er det ingen problemer med å lese filen: PHP leser filen, analyserer den og sender den til nettleseren. Dataene som er endret av den besøkende, returneres til serveren og skrives tilbake.

I dette tilfellet fungerer filen som en variabel som lagres utenfor koden. Om nødvendig mottar variabelen en verdi fra filen, og hvis den endres av den besøkende i dialogen gitt av nettstedet, vil alle endringer bli registrert som de er. Det er ikke nødvendig å lese og kontrollere innholdet i filen.

JSON brukes ofte til å lagre og bruke tjenesteinformasjon – dette er ikke en bemanningstabell, og verken utvikleren eller besøkende på nettstedet trenger å se den.

"Det er en tid for alt" er en klassisk kunnskap akseptert som et aksiom allerede før programmeringens inntog. "Ingenting bare vises" - dette skjedde også før mennesket skrev det første forståelige programmet på et kunstig språk.

Dataformater oppstår fra reelle behov og er basert på oppnådd kunnskap. HTML har sin egen bane, XML har sin egen bane, og JSON er JavaScript-objektlogikk utvidet til andre språk. Å sammenligne en med en annen er ikke den beste tingen å gjøre. Til hver sin egen.

XML takler sine oppgaver fantastisk og kommer tydeligvis ikke til å bli historie. Og JSON ble brukt frem til 2006, det er bare at ikke alle utviklere anså det som sin plikt å erklære visse alternativer for å representere dataene deres.

Det har vært tilfeller i praksis da programmer ble skrevet i BASIC som ikke brukte JSON som sådan, men perfekt lagret "navn = verdi"-par og gjorde dem tilgjengelige for de riktige algoritmene til rett tid.

Vanen med å jobbe med assosiative arrays og objekter i JavaScript gjør bruken av JSON naturlig og praktisk. Dette er et virkelig flott format, men muligheten til å skille og bli med, manipulere strenger og matriser, har mye dypere røtter.

Join/split-funksjonene til JavaScript-språket og implode/explode av PHP-språket lar deg enkelt og effektivt bruke både XML, JSON-dataformater og din egen versjon. Sistnevnte er ofte optimal, mens de to første er ideelle for generelle bruksmuligheter. Hvis informasjon overføres til en annen utvikler, server, fil eller database, er det ingen bedre måte å finne XML og JSON på. Alle jobber med dem, så overføring/mottak av informasjon krever ikke kommentarer.

Å lese og skrive data i JSON-format i Android er ikke bare normen, men det er også mange objekter som fokuserer på å jobbe med dette bestemte dataformatet.

I dette tilfellet brukes JSON-formatet. Dette kan være sant, men spørsmålet er ikke fenomenaliteten til sosiale nettverk, men det faktum at det å presentere informasjon i formatet "navn = verdi" er veldig praktisk både for programmering og bruk. I motsetning til det strenge og komplekse "XML", er dette virkelig et menneskevennlig format.

Det hender at variabler må beskrives (JavaScript) eller i det minste en initialverdi må spesifiseres (PHP). I begge tilfeller kan variabelen endre type veldig enkelt. Språket utfører denne konverteringen automatisk om nødvendig.

Men hvorfor skulle ikke variabelen også endre navn, vises under utførelse av algoritmen og forsvinne når den ikke lenger er nødvendig? Assosiative arrays løser dette problemet, men når man bruker slike relativt dynamiske variabler, vil arraynavnet og de tilsvarende syntaktiske konstruksjonene følge der de brukes.

Denne omstendigheten er spesielt uttalt i PHP, men du kan tåle det, som faktisk med "$"-symbolet i variabelnavnet og "$this->"-kombinasjonen inne i objektet. Programmering i JavaScript og PHP samtidig, først blir du virkelig overrasket over hvor forskjellig alt er, men så blir alt så kjent og naturlig...

I dette eksemplet opprettes et *.docx-dokument ved å bruke PHPOffice/PHPWord-biblioteket, og aProperties-arrayet inneholder egenskapene til dette dokumentet (forfatter, firma, tittel, kategori, opprettelsesdato...).

Den andre matrisen inneholder data for siden:

• orientering (landskap eller normal);
• vertikale og horisontale dimensjoner;
• innrykk (marger venstre, topp, bunn, høyre);
• topp- og bunntekst.

Dokumentet genereres på serveren der PHPOffice/PHPWord-biblioteket er installert. Nettstedet lar deg administrere verdiene til disse matrisene ved hjelp av JavaScript. Resultatet i JSON-format returneres tilbake til serveren og brukes i PHP-algoritmer, i dens konstruksjoner, det vil si i arrays.

JSON-formatet løser problemet med dynamiske variabler. Her kan du opprette, endre og slette variabler uten unødvendig syntaktisk rot. Det ser fint ut og brukes i JavaScript.

I dette eksemplet henter funksjonen GetOjInfo() verdinavnet og verdien fra et objekt. I utgangspunktet har JSON-strengobjektet som er tilordnet ojInfo-variabelen tre elementer: Navn, alder og arbeid. Litt senere legges Status-variabelen til.

Etter den første sletteoperatoren mister ojInfo-linjen alderselementet, etter den andre slettingen mister den arbeidselementet. Hvis vi antar at denne strengen er et utvalg av variabler som har en viss betydning, kan du ved å bruke JSON faktisk opprette, endre og slette alle sett av dem utenfor operasjonsfeltet (syntaks) for å beskrive og behandle JavaScript-språket.

JSON-formatet ble ikke designet for dette alternativet, men det er mulig, praktisk og praktisk.

JSON (JavaScript Object Notation) er et enkelt datautvekslingsformat som er enkelt å lese og skrive av både mennesker og datamaskiner.

Det er basert på et undersett av JavaScript-programmeringsspråket, definert i ECMA-262 3rd Edition – desember 1999-standarden. JSON er et tekstformat som er helt uavhengig av implementeringsspråket, men det bruker konvensjoner som er kjent for programmerere av C-lignende språk som C, C++, C#, Java, JavaScript, Perl, Python og mange andre. Disse egenskapene gjør JSON til et ideelt datautvekslingsspråk.

• JSON er basert på to datastrukturer: gjenstand En samling nøkkel/verdi-par. På forskjellige språk er dette konseptet implementert som
• , post, struktur, ordbok, hash, navngitt liste eller assosiativ matrise. array En ordnet liste over verdier. På de fleste språk er dette implementert som

, vektor, liste eller sekvens.

Dette er universelle datastrukturer. Nesten alle moderne programmeringsspråk støtter dem i en eller annen form.

Gjenstand Det er logisk å anta at et dataformat, uavhengig av programmeringsspråket, skal være basert på disse strukturene.

Array I JSON-notasjon ser det slik ut:

Betydning- et uordnet sett med nøkkel/verdi-par. Et objekt begynner med ( en åpnende krøllete klammeparentes og slutter med en ) lukkende krøllete klammeparentes. Hvert navn er etterfulgt av: et kolon, nøkkel/verdi-par atskilt med komma. linje i doble anførselstegn, tall- en ordnet samling av verdier. Matrisen begynner med en [ åpen hakeparentes og slutter med ] en avsluttende hakeparentes. gjenstand eller array Verdier er atskilt med komma.

Linje Kan være

Tall, sant , usant , null ,

. Disse strukturene kan nestes.

er en samling av null eller flere Unicode-tegn, omsluttet av doble anførselstegn, med \ omvendt skråstrek som escape-tegnet.