什么是JSON
JSON全称是Javascript Object Notation(对象表示法),是一种在不同平台间传递数据的文本格式(数据交换格式)。常见的数据交换格式有XML、JSON两种,我们主要研究JSON。
数据交换格式十分重要,开发人员需要使用它们来实现不同系统之间的数据交换。
JSON基于Javascript对象字面量,但是独立于任何编程语言,真正重要的是表示法本身,所以在学习JSON之前不必先学习Javascript。当然,有Javascript基础那是再好不过了。
JSON语法
JSON中使用键值对的数据结构,示例如下:
{ "name": "dawei", "age":22, "isMan":true}
名称始终需要加上双引号,多个键值对使用逗号隔开。
以下两种表示方式都是错误的:
{ name: "dawei" }
这是Javascript对象而不是JSON
{ 'name': 'dawei' }
这也是Javascript对象,因为在Javascript对象中允许使用单引号代替双引号。
JSON数据交换格式可以作为独立的文件存在于文件系统中,文件扩展名为.json。在传递数据的时候需要提前告知接收方接收的数据是什么类型。这时候就会涉及到媒体类型,也叫做内容类型或者MIME类型。常见的MIME类型是text/html,JSON的MIME类型是application/json。
JSON数据类型
JSON中的数据类型包括:对象、字符串、数字、布尔值、null和数组。
对象类型
JSON中的对象类型十分简单,JSON本身就是对象,也就是被一对花括号{}
包裹的键值对的列表。对象可以嵌套使用。
对象可以包含多个键值对。
键必须是字符串,值可以是合法的 JSON 数据类型(字符串, 数字, 对象, 数组, 布尔值或 null)。{ "person":{ "name":"dawei", "age":23, "isBoy":true }}
字符串类型
在JSON中字符串必须并且只能使用双引号包裹起来。在JSON中,键都是字符串类型。在Javascript中,使用单引号和双引号没有任何区别。但是JSON不是Javascript对象字面量,它只是基于Javascript对象字面量。
对于JSON解析器来说,当一个值以双引号开始时,它希望接下来的字符串文本以另一个双引号结尾。这意味着如果这段字符串本身包含双引号可能会报错。这时候我们需要使用反斜杠对字符串中的双引号进行转义。
{ "promo":"He say \"Bob`s the best!\" at classroom"}
数字类型
JSON中的数字类型可以是整数、小数、负数或者是指数。
布尔类型
JSON中的布尔值仅可使用小写形式:true或false,其他任何写法都会报错。
null类型
在JSON中,使用null表示一无所有、不存在等意思。
对于下面这个例子,由于对象不戴手表,所以他不存在手表颜色:
{ "freckleCount":0, "fairy":true, "watchColor":null}
数组类型
数组始终应该被方括号[]
包裹。数组中的值使用逗号隔开。
这些值可以是任何合法的JSON数据类型。所以可以有字符串构成的数组、数字构成的数组、布尔值构成的数组、对象构成的数组甚至是数组构成的数组。
在数组中也可包含不同数据类型的值:
{ "eggCarton":["egg",null,"egg",5,"egg"]}
这在JSON中也是合法的,但是我们应该避免这样使用。因为如果我们将包含不同数据类型的数组的JSON传递给一个不使用Javascript的系统,那么在解析的时候很可能会报错。
JSON 模式(Schema)
JSON中的数据通过互联网或其他网络传输到接收方,接收方会对它要接收的数据有一个预期。接收方会提供一个文档来解释预期的格式并且提供示例。此外,JSON模式亦可以被接收方用于传输方的另一端。JSON模式往往位于要接收数据的第一行,以保证数据符合要求。
我们统称上述做法为“一致性验证”,在这里要验证三个方面的内容:
- 值的类型是否正确——可以具体规定一个值是数字、字符串等类型
- 是否包含所需要的数据——可以规定哪些数据是必须的,哪些是不需要的
- 值的形式是否是我们需要的——可以指定范围、最小值和最大值
JSON Schema使用JSON来书写,一个完整的JSON Schema格式的文件如下所示:
{ "$schema":"http://json-schema.org/draft-04/schema#", "title":"Cat", "properties":{ "name":{ "type":"string", "minLength":3, "maxLength":20 }, "age":{ "type":"number", "description":"You cat's age in years.", "minimum":0 }, "declawed":{ "type":"boolean" }, "description":{ "type":"string" } }, "required":[ "name", "age", "declawed" ]}
在这个文件中,第一个键值对声明了一个schema文件,第二个键值对是该文件的标题,第三个键值对是需要包含在JSON中的属性,第四个键值对指定必须包含的属性。在属性值中,又说明了属性类型、对属性的描述和值的范围。
JSON中的安全问题
JSON本身不存在任何安全问题,但是在web中使用JSON时却常出现两个安全问题:跨站请求伪造和跨站脚本攻击。
跨站请求伪造
跨站请求伪造(CSRF)是一种利用站点对用户浏览器的信任而发起攻击的方式。
这个信任其实就是用户的登录凭证,黑客为了得到用户的凭证,会在用户登录站点的情况下向用户发送大量的伪造“消息提醒”,目的就是为了让用户点击它,访问它带有危险脚本的网站。一旦用户点击这一消息提醒、访问该恶意网站,黑客就可获取用户的敏感信息(登录凭证)实现攻击:
一般安全意识较差的网站使用下列这样的JSON URL存放敏感信息:
[ { "username":"dawei" }, { "phone":"555-555-555" }]
这里的JSON格式是合法的,但是它十分危险,因为它也是可执行的JS脚本,黑客可以轻易的将其保存到自己站点的脚本中。
如何阻止CSRF攻击?
首先,应该将数组作为一个值存入JSON对象,这样数组将不再是合法的JavaScript,脚本也就无法加载它。
{ "info":[ { "username":"dawei" }, { "phone":"555-555-555" } ]}
其次,站点应该只允许post请求,静止使用get请求。这样黑客就无法使用脚本中的URL了。
注入攻击
注入攻击都是利用系统本身的漏洞向网站注入恶意代码来进行攻击的。
跨站脚本攻击
跨站脚本攻击(XSS)是注入攻击的一种。在使用JSON时常见的安全漏洞通常发生在Javascript从服务器获取到一段JSON字符串并将其转化成JavaScript对象的时候。
在JavaScript中,可以使用eval()
函数来进行这一操作:
var jsonString = '{"animal":"cat"}';var myObject = eval("("+ jsonString +")");alert(myObject.animal);
这好像没什么问题,但是如果服务器或者服务器发来的JSON被攻击,携带了恶意代码,这样的话情况将会很糟糕:
var jsonString = "alert('this is bad code')";var myObject = eval("("+ jsonString +")");alert(myObject.animal);
eval()
的问题在于它会将传入的字符串无差别的编译执行,这样的话就会给黑客以可乘之机,很可能会给我们带来不可估计的损失。
为了解决这一问题,引入了JSON.parse()
方法,这一函数仅解析JSON,不会执行脚本:
var jsonString = '{"animal":"cat"}';var myObject = JSON.parse("("+ jsonString +")");alert(myObject.animal);