摘要:基于對(duì)象字面量�,但是獨(dú)立于任何編程語(yǔ)言,真正重要的是表示法本身�,所以在學(xué)習(xí)之前不必先學(xué)習(xí)����。鍵必須是字符串��,值可以是合法的數(shù)據(jù)類型字符串?dāng)?shù)字對(duì)象數(shù)組布爾值或�����。布爾類型中的布爾值僅可使用小寫形式或�,其他任何寫法都會(huì)報(bào)錯(cuò)�����。
什么是JSON
JSON全稱是Javascript Object Notation(對(duì)象表示法)���,是一種在不同平臺(tái)間傳遞數(shù)據(jù)的文本格式(數(shù)據(jù)交換格式)�����。常見(jiàn)的數(shù)據(jù)交換格式有XML�����、JSON兩種�����,我們主要研究JSON��。
數(shù)據(jù)交換格式十分重要���,開(kāi)發(fā)人員需要使用它們來(lái)實(shí)現(xiàn)不同系統(tǒng)之間的數(shù)據(jù)交換�。
JSON基于Javascript對(duì)象字面量�,但是獨(dú)立于任何編程語(yǔ)言,真正重要的是表示法本身�����,所以在學(xué)習(xí)JSON之前不必先學(xué)習(xí)Javascript�����。當(dāng)然�����,有Javascript基礎(chǔ)那是再好不過(guò)了�����。
JSON語(yǔ)法
JSON中使用鍵值對(duì)的數(shù)據(jù)結(jié)構(gòu),示例如下:
{
"name": "dawei",
"age":22,
"isMan":true
}
名稱始終需要加上雙引號(hào)�,多個(gè)鍵值對(duì)使用逗號(hào)隔開(kāi)。
以下兩種表示方式都是錯(cuò)誤的:
{ name: "dawei" }
這是Javascript對(duì)象而不是JSON
{ "name": "dawei" }
這也是Javascript對(duì)象�,因?yàn)樵贘avascript對(duì)象中允許使用單引號(hào)代替雙引號(hào)����。
JSON數(shù)據(jù)交換格式可以作為獨(dú)立的文件存在于文件系統(tǒng)中,文件擴(kuò)展名為.json���。在傳遞數(shù)據(jù)的時(shí)候需要提前告知接收方接收的數(shù)據(jù)是什么類型�����。這時(shí)候就會(huì)涉及到媒體類型��,也叫做內(nèi)容類型或者M(jìn)IME類型�����。常見(jiàn)的MIME類型是text/html�����,JSON的MIME類型是application/json���。
JSON數(shù)據(jù)類型
JSON中的數(shù)據(jù)類型包括:對(duì)象��、字符串�����、數(shù)字�����、布爾值�����、null和數(shù)組�。
對(duì)象類型
JSON中的對(duì)象類型十分簡(jiǎn)單�,JSON本身就是對(duì)象,也就是被一對(duì)花括號(hào){}包裹的鍵值對(duì)的列表���。對(duì)象可以嵌套使用����。
對(duì)象可以包含多個(gè)鍵值對(duì)���。
鍵必須是字符串����,值可以是合法的 JSON 數(shù)據(jù)類型(字符串, 數(shù)字, 對(duì)象, 數(shù)組, 布爾值或 null)。
{
"person":{
"name":"dawei",
"age":23,
"isBoy":true
}
}
字符串類型
在JSON中字符串必須并且只能使用雙引號(hào)包裹起來(lái)�。在JSON中,鍵都是字符串類型�。在Javascript中�,使用單引號(hào)和雙引號(hào)沒(méi)有任何區(qū)別。但是JSON不是Javascript對(duì)象字面量��,它只是基于Javascript對(duì)象字面量���。
對(duì)于JSON解析器來(lái)說(shuō)�,當(dāng)一個(gè)值以雙引號(hào)開(kāi)始時(shí)�����,它希望接下來(lái)的字符串文本以另一個(gè)雙引號(hào)結(jié)尾�。這意味著如果這段字符串本身包含雙引號(hào)可能會(huì)報(bào)錯(cuò)。這時(shí)候我們需要使用反斜杠對(duì)字符串中的雙引號(hào)進(jìn)行轉(zhuǎn)義����。
{
"promo":"He say "Bob`s the best!" at classroom"
}
數(shù)字類型
JSON中的數(shù)字類型可以是整數(shù)���、小數(shù)、負(fù)數(shù)或者是指數(shù)��。
布爾類型
JSON中的布爾值僅可使用小寫形式:true或false���,其他任何寫法都會(huì)報(bào)錯(cuò)��。
null類型
在JSON中��,使用null表示一無(wú)所有��、不存在等意思�����。
對(duì)于下面這個(gè)例子���,由于對(duì)象不戴手表,所以他不存在手表顏色:
{
"freckleCount":0,
"fairy":true,
"watchColor":null
}
數(shù)組類型
數(shù)組始終應(yīng)該被方括號(hào)[]包裹����。數(shù)組中的值使用逗號(hào)隔開(kāi)。
這些值可以是任何合法的JSON數(shù)據(jù)類型����。所以可以有字符串構(gòu)成的數(shù)組����、數(shù)字構(gòu)成的數(shù)組�、布爾值構(gòu)成的數(shù)組、對(duì)象構(gòu)成的數(shù)組甚至是數(shù)組構(gòu)成的數(shù)組����。
在數(shù)組中也可包含不同數(shù)據(jù)類型的值:
{
"eggCarton":["egg",null,"egg",5,"egg"]
}
這在JSON中也是合法的,但是我們應(yīng)該避免這樣使用���。因?yàn)槿绻覀儗煌瑪?shù)據(jù)類型的數(shù)組的JSON傳遞給一個(gè)不使用Javascript的系統(tǒng),那么在解析的時(shí)候很可能會(huì)報(bào)錯(cuò)�����。
JSON 模式(Schema)
JSON中的數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)傳輸?shù)浇邮辗?��,接收方?huì)對(duì)它要接收的數(shù)據(jù)有一個(gè)預(yù)期����。接收方會(huì)提供一個(gè)文檔來(lái)解釋預(yù)期的格式并且提供示例��。此外,JSON模式亦可以被接收方用于傳輸方的另一端�����。JSON模式往往位于要接收數(shù)據(jù)的第一行���,以保證數(shù)據(jù)符合要求�����。
我們統(tǒng)稱上述做法為“一致性驗(yàn)證”����,在這里要驗(yàn)證三個(gè)方面的內(nèi)容:
值的類型是否正確——可以具體規(guī)定一個(gè)值是數(shù)字����、字符串等類型
是否包含所需要的數(shù)據(jù)——可以規(guī)定哪些數(shù)據(jù)是必須的,哪些是不需要的
值的形式是否是我們需要的——可以指定范圍�、最小值和最大值
JSON Schema使用JSON來(lái)書寫,一個(gè)完整的JSON Schema格式的文件如下所示:
{
"$schema":"http://json-schema.org/draft-04/schema#",
"title":"Cat",
"properties":{
"name":{
"type":"string",
"minLength":3,
"maxLength":20
},
"age":{
"type":"number",
"description":"You cat"s age in years.",
"minimum":0
},
"declawed":{
"type":"boolean"
},
"description":{
"type":"string"
}
},
"required":[
"name",
"age",
"declawed"
]
}
在這個(gè)文件中�����,第一個(gè)鍵值對(duì)聲明了一個(gè)schema文件��,第二個(gè)鍵值對(duì)是該文件的標(biāo)題�����,第三個(gè)鍵值對(duì)是需要包含在JSON中的屬性��,第四個(gè)鍵值對(duì)指定必須包含的屬性。在屬性值中,又說(shuō)明了屬性類型、對(duì)屬性的描述和值的范圍���。
JSON中的安全問(wèn)題
JSON本身不存在任何安全問(wèn)題����,但是在web中使用JSON時(shí)卻常出現(xiàn)兩個(gè)安全問(wèn)題:跨站請(qǐng)求偽造和跨站腳本攻擊。
跨站請(qǐng)求偽造
跨站請(qǐng)求偽造(CSRF)是一種利用站點(diǎn)對(duì)用戶瀏覽器的信任而發(fā)起攻擊的方式。
這個(gè)信任其實(shí)就是用戶的登錄憑證,黑客為了得到用戶的憑證��,會(huì)在用戶登錄站點(diǎn)的情況下向用戶發(fā)送大量的偽造“消息提醒”����,目的就是為了讓用戶點(diǎn)擊它�����,訪問(wèn)它帶有危險(xiǎn)腳本的網(wǎng)站����。一旦用戶點(diǎn)擊這一消息提醒��、訪問(wèn)該惡意網(wǎng)站,黑客就可獲取用戶的敏感信息(登錄憑證)實(shí)現(xiàn)攻擊:
一般安全意識(shí)較差的網(wǎng)站使用下列這樣的JSON URL存放敏感信息:
[
{
"username":"dawei"
},
{
"phone":"555-555-555"
}
]
這里的JSON格式是合法的��,但是它十分危險(xiǎn),因?yàn)樗彩强蓤?zhí)行的JS腳本���,黑客可以輕易的將其保存到自己站點(diǎn)的腳本中�����。
如何阻止CSRF攻擊���?
首先,應(yīng)該將數(shù)組作為一個(gè)值存入JSON對(duì)象,這樣數(shù)組將不再是合法的JavaScript��,腳本也就無(wú)法加載它����。
{
"info":[
{
"username":"dawei"
},
{
"phone":"555-555-555"
}
]
}
其次,站點(diǎn)應(yīng)該只允許post請(qǐng)求��,靜止使用get請(qǐng)求����。這樣黑客就無(wú)法使用腳本中的URL了。
注入攻擊
注入攻擊都是利用系統(tǒng)本身的漏洞向網(wǎng)站注入惡意代碼來(lái)進(jìn)行攻擊的���。
跨站腳本攻擊
跨站腳本攻擊(XSS)是注入攻擊的一種。在使用JSON時(shí)常見(jiàn)的安全漏洞通常發(fā)生在Javascript從服務(wù)器獲取到一段JSON字符串并將其轉(zhuǎn)化成JavaScript對(duì)象的時(shí)候���。
在JavaScript中�,可以使用eval()函數(shù)來(lái)進(jìn)行這一操作:
var jsonString = "{"animal":"cat"}";
var myObject = eval("("+ jsonString +")");
alert(myObject.animal);
這好像沒(méi)什么問(wèn)題�����,但是如果服務(wù)器或者服務(wù)器發(fā)來(lái)的JSON被攻擊�,攜帶了惡意代碼����,這樣的話情況將會(huì)很糟糕:
var jsonString = "alert("this is bad code")";
var myObject = eval("("+ jsonString +")");
alert(myObject.animal);
eval()的問(wèn)題在于它會(huì)將傳入的字符串無(wú)差別的編譯執(zhí)行,這樣的話就會(huì)給黑客以可乘之機(jī)���,很可能會(huì)給我們帶來(lái)不可估計(jì)的損失。
為了解決這一問(wèn)題,引入了JSON.parse()方法,這一函數(shù)僅解析JSON����,不會(huì)執(zhí)行腳本:
var jsonString = "{"animal":"cat"}";
var myObject = JSON.parse("("+ jsonString +")");
alert(myObject.animal);
未完待續(xù)...
