《JSON必知必会》学习笔记（一）

什么是JSON

JSON全称是Javascript Object Notation（对象表示法），是一种在不一样平台间传递数据的文本格式（数据交换格式）。常见的数据交换格式有XML、JSON两种，咱们主要研究JSON。

数据交换格式十分重要，开发人员须要使用它们来实现不一样系统之间的数据交换。

JSON基于Javascript对象字面量，可是独立于任何编程语言，真正重要的是表示法自己，因此在学习JSON以前没必要先学习Javascript。固然，有Javascript基础那是再好不过了。

JSON语法

JSON中使用键值对的数据结构，示例以下：

{
    "name": "dawei",
    "age":22,
    "isMan":true
}

名称始终须要加上双引号，多个键值对使用逗号隔开。

如下两种表示方式都是错误的：

{ name: "dawei" }

这是Javascript对象而不是JSON

{ 'name': 'dawei' }

这也是Javascript对象，由于在Javascript对象中容许使用单引号代替双引号。

JSON数据交换格式能够做为独立的文件存在于文件系统中，文件扩展名为.json。在传递数据的时候须要提早告知接收方接收的数据是什么类型。这时候就会涉及到媒体类型，也叫作内容类型或者MIME类型。常见的MIME类型是text/html，JSON的MIME类型是application/json。

JSON数据类型

JSON中的数据类型包括：对象、字符串、数字、布尔值、null和数组。

对象类型

JSON中的对象类型十分简单，JSON自己就是对象，也就是被一对花括号{}包裹的键值对的列表。对象能够嵌套使用。

对象能够包含多个键值对。
键必须是字符串，值能够是合法的 JSON 数据类型（字符串, 数字, 对象, 数组, 布尔值或 null）。

{
    "person":{
        "name":"dawei",
        "age":23,
        "isBoy":true
    }
}

字符串类型

在JSON中字符串必须而且只能使用双引号包裹起来。在JSON中，键都是字符串类型。在Javascript中，使用单引号和双引号没有任何区别。可是JSON不是Javascript对象字面量，它只是基于Javascript对象字面量。

对于JSON解析器来讲，当一个值以双引号开始时，它但愿接下来的字符串文本以另外一个双引号结尾。这意味着若是这段字符串自己包含双引号可能会报错。这时候咱们须要使用反斜杠对字符串中的双引号进行转义。

{
    "promo":"He say \"Bob`s the best!\" at classroom"
}

数字类型

JSON中的数字类型能够是整数、小数、负数或者是指数。

布尔类型

JSON中的布尔值仅可以使用小写形式：true或false，其余任何写法都会报错。

null类型

在JSON中，使用null表示一无全部、不存在等意思。

对于下面这个例子，因为对象不戴手表，因此他不存在手表颜色：

{
    "freckleCount":0,
    "fairy":true,
    "watchColor":null
}

数组类型

数组始终应该被方括号[]包裹。数组中的值使用逗号隔开。

这些值能够是任何合法的JSON数据类型。因此能够有字符串构成的数组、数字构成的数组、布尔值构成的数组、对象构成的数组甚至是数组构成的数组。

在数组中也可包含不一样数据类型的值：

{
    "eggCarton":["egg",null,"egg",5,"egg"]
}

这在JSON中也是合法的，可是咱们应该避免这样使用。由于若是咱们将包含不一样数据类型的数组的JSON传递给一个不使用Javascript的系统，那么在解析的时候极可能会报错。

JSON 模式（Schema）

JSON中的数据经过互联网或其余网络传输到接收方，接收方会对它要接收的数据有一个预期。接收方会提供一个文档来解释预期的格式而且提供示例。此外，JSON模式亦能够被接收方用于传输方的另外一端。JSON模式每每位于要接收数据的第一行，以保证数据符合要求。

咱们统称上述作法为“一致性验证”，在这里要验证三个方面的内容：

• 值的类型是否正确——能够具体规定一个值是数字、字符串等类型

• 是否包含所须要的数据——能够规定哪些数据是必须的，哪些是不须要的

• 值的形式是不是咱们须要的——能够指定范围、最小值和最大值

JSON Schema使用JSON来书写，一个完整的JSON Schema格式的文件以下所示：

{
    "$schema":"http://json-schema.org/draft-04/schema#",
    "title":"Cat",
    "properties":{
        "name":{
            "type":"string",
            "minLength":3,
            "maxLength":20
        },
        "age":{
            "type":"number",
            "description":"You cat's age in years.",
            "minimum":0
        },
        "declawed":{
            "type":"boolean"
        },
        "description":{
             "type":"string"
        }
    },
    "required":[
        "name",
        "age",
        "declawed"
    ]
}

在这个文件中，第一个键值对声明了一个schema文件，第二个键值对是该文件的标题，第三个键值对是须要包含在JSON中的属性，第四个键值对指定必须包含的属性。在属性值中，又说明了属性类型、对属性的描述和值的范围。

JSON中的安全问题

JSON自己不存在任何安全问题，可是在web中使用JSON时却常出现两个安全问题：跨站请求伪造和跨站脚本攻击。

跨站请求伪造

跨站请求伪造（CSRF）是一种利用站点对用户浏览器的信任而发起攻击的方式。

这个信任其实就是用户的登陆凭证，黑客为了获得用户的凭证，会在用户登陆站点的状况下向用户发送大量的伪造“消息提醒”，目的就是为了让用户点击它，访问它带有危险脚本的网站。一旦用户点击这一消息提醒、访问该恶意网站，黑客就可获取用户的敏感信息（登陆凭证）实现攻击：

<script src="https://www.yourspecialbank.com/user.json"></script>

通常安全意识较差的网站使用下列这样的JSON URL存放敏感信息：

[
    {
        "username":"dawei"
    },
    {
        "phone":"555-555-555"
    }
]

这里的JSON格式是合法的，可是它十分危险，由于它也是可执行的JS脚本，黑客能够轻易的将其保存到本身站点的脚本中。

如何阻止CSRF攻击？

首先，应该将数组做为一个值存入JSON对象，这样数组将再也不是合法的JavaScript，脚本也就没法加载它。

{
    "info":[
        {
            "username":"dawei"
        },
        {
            "phone":"555-555-555"
        }
    ]
}

其次，站点应该只容许post请求，静止使用get请求。这样黑客就没法使用脚本中的URL了。

注入攻击

注入攻击都是利用系统自己的漏洞向网站注入恶意代码来进行攻击的。

跨站脚本攻击

跨站脚本攻击（XSS）是注入攻击的一种。在使用JSON时常见的安全漏洞一般发生在Javascript从服务器获取到一段JSON字符串并将其转化成JavaScript对象的时候。

在JavaScript中，可使用eval()函数来进行这一操做：

var jsonString = '{"animal":"cat"}';
var myObject = eval("("+ jsonString +")");
alert(myObject.animal);

这好像没什么问题，可是若是服务器或者服务器发来的JSON被攻击，携带了恶意代码，这样的话状况将会很糟糕：

var jsonString = "alert('this is bad code')";
var myObject = eval("("+ jsonString +")");
alert(myObject.animal);

eval()的问题在于它会将传入的字符串无差异的编译执行，这样的话就会给黑客以可乘之机，极可能会给咱们带来不可估计的损失。

为了解决这一问题，引入了JSON.parse()方法，这一函数仅解析JSON，不会执行脚本：

var jsonString = '{"animal":"cat"}';
var myObject = JSON.parse("("+ jsonString +")");
alert(myObject.animal);

未完待续...