JSON | |
---|---|
Laajennus | .json[yksi] |
MIME -tyyppinen | sovellus/json [2] |
Muototyyppi | Tiedonvaihto |
Laajennettu kohteesta | JavaScript |
Standardit) | RFC 8259 |
Verkkosivusto | json.org _ |
Mediatiedostot Wikimedia Commonsissa |
JSON ( englanniksi JavaScript Object Notation , lausutaan yleensä muodossa / ˈ dʒ eɪ s ən / JAY-sən [3] ) on JavaScriptiin perustuva tekstipohjainen tiedonvaihtomuoto . Kuten monet muutkin tekstimuodot, JSON on ihmisten helppo lukea. JSON-muodon on kehittänyt Douglas Crockford [4] .
Huolimatta siitä, että se on johdettu JavaScriptistä (tarkemmin sanottuna vuoden 1999 ECMA-262- standardin kielialajoukosta), muotoa pidetään kieliriippumattomana ja sitä voidaan käyttää melkein minkä tahansa ohjelmointikielen kanssa . Monille kielille on olemassa valmis koodi JSON-muodossa olevien tietojen luomiseen ja käsittelyyn.
Koska JSON-muoto on ytimekäs verrattuna XML :ään , se voi olla sopivampi monimutkaisten rakenteiden sarjoittamiseen . Sitä käytetään verkkosovelluksissa sekä tiedonvaihtoon selaimen ja palvelimen välillä ( AJAX ) että palvelimien välillä (ohjelmalliset HTTP - parit).
Koska JSON-muoto on JavaScript-kielen syntaksin osajoukko, se voidaan nopeasti deserialisoida JSON.parse().
JSON-teksti on (koodattu) toinen kahdesta rakenteesta:
JSONin käyttämiä tietorakenteita tukevat kaikki nykyaikaiset ohjelmointikielet, mikä mahdollistaa JSON:n käytön tiedon vaihtamiseen eri ohjelmointikielten ja ohjelmistojärjestelmien välillä.
Seuraavia voidaan käyttää arvoina JSONissa:
Merkkijono on hyvin samanlainen kuin JavaScriptin saman tietotyypin literaali . Numero on myös hyvin samanlainen kuin JavaScript-numero, paitsi että se käyttää vain desimaalimuotoa (piste erottimena). Kahden syntaksielementin väliin voidaan lisätä välilyöntejä.
Seuraava esimerkki näyttää JSON-esityksen kohteen tiedoista, joka kuvaa henkilöä. Tiedot sisältävät etu- ja sukunimimerkkijonokentät , osoitetiedot ja taulukon, joka sisältää luettelon puhelinnumeroista. Kuten esimerkistä näkyy, arvo voi olla sisäkkäinen rakenne.
{ "etunimi" : "Ivan" , "sukunimi" : "Ivanov" , "osoite" : { "streetAddress" : "Moskovskoe sh., 101, kv.101" , "city" : "Leningrad" , "postalCode" : 101101 }, "puhelinnumerot" : [ "812 123-1234" , "916 123-4567" ] }Sekä numeroita että merkkijonoja voidaan käyttää arvoina JSONissa. Siksi tietue "postalCode": "101101"sisältää merkkijonon ja "postalCode": 101101 - jo numeerisen arvon. JavaScriptin ja PHP :n heikon kirjoittamisen vuoksi merkkijono voidaan lähettää numeroon, eikä se vaikuta ohjelman logiikkaan. On kuitenkin suositeltavaa, että käsittelet arvotyyppiä huolellisesti, koska JSON:ia käytetään järjestelmien väliseen vaihtoon.
XML:ssä tällainen rakenne näyttäisi suunnilleen tältä:
<person> <firstName> Ivan </firstName> <lastName> Ivanov </lastName> <dress> <streetAddress> Moskovskoje sh., 101, kv.101 </streetAddress> <city> Leningrad </city> <postalCode> 101101 </postalCode> </address> <phoneNumbers> <phoneNumber> 812 123-1234 </phoneNumber> <phoneNumber> 916 123-4567 </phoneNumber> </phoneNumbers> </person>tai näin:
<person firstName= "Ivan" lastName= "Ivanov" > <address streetAddress= "101 Moskovskoje sh., apt. 101" city= "Leningrad" postalCode= "101101" /> <puhelinnumerot> <puhelinnumero> 812 123-1234 < /phoneNumber> <phoneNumber> 916 123-4567 </phoneNumber> </phoneNumber> </person>JSON5 on json-muodon ehdotettu laajennus ECMAScript 5 -syntaksin mukaisesti, koska json-tiedostoa ei käytetä vain ohjelmien väliseen viestintään, vaan sitä myös luodaan / muokataan manuaalisesti [6] . JSON5-tiedosto on aina kelvollinen ECMAScript 5 -koodi. JSON5 on taaksepäin yhteensopiva JSONin kanssa. Joillekin ohjelmointikielille on jo olemassa json5-jäsentimiä [7] .
Muutamia innovaatioita:
Sekä toiminnallisesti että syntaktisesti JSON on YAML- kielen osajoukko . Erityisesti YAML 1.2 -spesifikaatiossa todetaan, että "kaikki JSON-tiedostot ovat kelvollisia YAML-tiedostoja" [8] . Yleisin YAML- jäsennin pystyy myös käsittelemään JSON: ia [9] . 1.2:ta edeltävä YAML-spesifikaatio ei täysin kattanut JSON:ia, mikä johtui ensisijaisesti YAML:n alkuperäisen UTF-32- tuen puutteesta sekä tilantarpeesta pilkkuerottimen jälkeen. lisäksi JSON-määritykset sisälsivät /* */ -tyyliset kommentit.
Tärkein ero YAML:n välillä on joukko syntaksilaajennuksia, joilla ei ole vastaavaa JSONissa:
JSON Schema on yksi JSON-dokumentin rakenteen kuvailevista kielistä. Käyttää JSON-syntaksia. Perustuu käsitteisiin XML Schema , RelaxNG , Kwalify . JSON Schema on itsekuvaava kieli: kun sitä käytetään tietojen käsittelyyn ja sen oikeellisuuden kuvaamiseen, voidaan käyttää samoja serialisointi- / deserialointityökaluja [10] .
JSON-standardi ei tue objektiviittauksia , mutta voit saavuttaa halutun tuloksen lisäkäytännöillä. W3C :n suositus linkitetylle datalle on JSON-LD , joka käyttää RDF -tietomallia . JSON-LD:ssä dataan lisätään konteksti (konteksti), joka yhdistää JSON-dokumenttiobjektien ominaisuudet ontologiaelementteihin [11] .
Seuraava Javascript-koodiesimerkki näyttää, kuinka selain voi pyytää XMLHttpRequestin avulla JSON-objektin palvelimelta (ohjelman palvelinpuoli on jätetty pois; sen tulee sisältää koodia, joka lähettää tietoja JSON-merkkijonomuodossa vastauksena pyyntöihin url).
var http_request = uusi XMLHttpRequest (); http_pyyntö . onreadystatechange = function () { if ( http_request . readyState !== 4 ) return ; if ( http_request . status !== 200 ) throw new Error ( 'pyyntö hylättiin' ); do_something_with_object ( JSON . jäsentää ( http_request . responseText )); http_pyyntö = null ; }; http_pyyntö . open ( "GET" , url , true ); http_pyyntö . lähetä ( null );Huomaa, että tämä XMLHttpRequest -esimerkki ei tue Internet Exploreria versioon 6 asti, joten niille on käytettävä hieman erilaista koodia. XMLHttpRequestin käyttömahdollisuudet ovat rajoitetut samasta alkuperäkäytännöstä johtuen : pyynnön URL-vastauksen tulee olla samassa DNS-verkkotunnuksessa kuin vastausta pyytävän sivun isännöivä palvelin. Vaihtoehtoisesti käytetään JSONP- lähestymistapaa , jossa käytetään koodattua funktiokutsua, joka välitetään asiakkaan ja palvelimen välillä, jotta asiakas voi ladata JSON-koodattuja tietoja kolmannen osapuolen toimialueista ja ilmoittaa soittajalle valmistumisesta, vaikka tämä tuo jonkin verran turvallisuutta. riskejä ja lisäpalvelinvaatimuksia.
Vaihtoehtoisesti voit käyttää sivukoodin elementtejä <iframe>pyytääksesi JSON-tietoja asynkronisesti tai yksinkertaisesti <form action="url_to_cgi_script">. Nämä lähestymistavat olivat yleisiä ennen XMLHttpRequestin laajaa tukea.
Voit myös käyttää dynaamisia tunnisteita JSON-tietojen välittämiseen <script>. Tämä menetelmä voi ohittaa saman alkuperäpolitiikan, mutta se sisältää haavoittuvan koodin. JSONRequestiä on ehdotettu turvallisemmaksi vaihtoehdoksi .
Vaikka JSON on tarkoitettu sarjoitettavaksi, sen syntaksi on samanlainen kuin JavaScript, mikä aiheuttaa useita tietoturvaongelmia. Usein toimintoa käytetään ulkoisesta lähteestä JSON-muodossa vastaanotettuihin tietoihin eval()ilman alustavaa vahvistusta.
Koska JSON esitetään syntaktisesti oikeana JavaScript-koodin osana, helpoin tapa jäsentää JSON-tietoja JavaScript-ohjelmassa on käyttää JavaScriptin sisäänrakennettua toimintoa eval(), joka on suunniteltu suorittamaan JavaScript-lausekkeita. Tällä lähestymistavalla ei ole tarvetta käyttää ylimääräisiä jäsentimiä.
Käyttötekniikka eval()tekee järjestelmästä haavoittuvan, jos käytettyjen JSON-tietojen lähde ei ole luotettava . koodia Code Injection hyökkäyksille Tämän haavoittuvuuden avulla on mahdollista suorittaa tietovarkauksia, todennusväärennöksiä.
On ehdotettu uutta toimintoa JSON.parse(), joka voi käsitellä vain JSON-tietoja. Se esiteltiin ECMAScript -standardin neljännessä versiossa ja kuvattiin artikkelissa "JSON: Rasvaton vaihtoehto XML:lle" [12] . Se on tällä hetkellä saatavilla JavaScript-kirjastona [13] ja se on sisällytetty ECMAScriptin viidenteen painokseen.
Verkkoselaimien uusimmissa versioissa on sisäänrakennettu tuki JSONille, ja ne pystyvät käsittelemään sitä.
Huonosti suunniteltu JSONin käyttö tekee sivustoista haavoittuvia sivustojen väliselle pyyntöväärennökselle (CSRF tai XSRF) [14] . Koska tagi <script>sallii lähteen käytön, joka ei kuulu samaan verkkotunnukseen kuin käyttävä resurssi, tämä mahdollistaa koodin suorittamisen JSON-tietojen varjolla mielivaltaisen sivun yhteydessä, mikä mahdollistaa salasanojen tai salasanojen vaarantamisen . muita arkaluonteisia tietoja käyttäjistä, jotka on valtuutettu toiselle sivustolle.
Tämä näyttää olevan ongelma vain, jos JSON-tiedot sisältävät arkaluontoisia tietoja, jotka kolmas osapuoli voi vaarantaa, ja jos palvelin luottaa käytäntöön estääkseen pääsyn tietoihin, kun se kohtaa ulkoisen pyynnön Tämä ei ole ongelma, jos palvelin määrittää pyynnön oikeellisuuden ja toimittaa tiedot vain, jos ne ovat oikein. HTTP-evästettä ei voida käyttää tämän määrittämiseen. HTTP-evästeen yksinomaista käyttöä hyödynnetään sivustojen välisessä pyynnön väärentämisessä .
JSONP ( JSON Padding ) on JSON:n laajennus, kun takaisinsoittofunktion nimi määritetään syöteargumentiksi.
Tekniikka perustuu siihen, että selaimen suojauskäytäntö ei estä tagin <script type="text/javascript" src="…"></script>käyttöä muiden palvelimien käyttämiseen kuin palvelimelle, jolta sivu on ladattu.
Palvelin voi vain palauttaa tietoja käyttämättä JSONP-tekniikkaa (eli vain JSON-tietojen koodausta). Esimerkiksi näin:
{ "paperi" : "A4" , "laskenta" : 5 }Nämä ovat kuitenkin vain tietoja, eivätkä ne voi vaikuttaa selaimeen.
JSONP-tekniikalla takaisinsoittotoiminnon nimi välitetään kolmannen osapuolen palvelimelle soittojonossa (GET):
<script type="text/javascript" src="http://example.com/getjson?jsonp=parseResponse"></script>Tässä jsonp-parametri sisältää parseResponse-funktion takaisinkutsun nimen.
Nyt vieras palvelin example.com voi palauttaa seuraavan koodin:
parseResponse ({ "paperi" : "A4" , "count" : 5 })Nyt koodi kutsuu ensimmäisen verkkotunnuksen javascript-funktiota.
Idea ehdotettiin alun perin MacPython-blogissa vuonna 2005 [15] , ja sitä käyttävät tällä hetkellä monet Web 2.0 -sovellukset, kuten Dojo Toolkit Applications, Google Toolkit Applications [ https://www.webcitation.org/6Djo88laj?url=http: / /www.gwtapps.com/?p=42%5d ja zanox-verkkopalvelut. Tähän protokollaan on ehdotettu lisälaajennuksia lisäargumenttien sisällyttämiseksi, kuten S3DB -verkkopalveluiden tukeman JSONPP :n [16] tapauksessa.
Koska JSONP käyttää komentosarjatunnisteita, kutsut ovat pohjimmiltaan avoimia koko maailmalle. Tästä syystä JSONP ei ehkä sovellu arkaluonteisten tietojen tallentamiseen [17] .
Etäsivustojen komentosarjatunnisteiden lisääminen mahdollistaa sivuston sisällön välittämisen. Jos etäsivustossa on haavoittuvuuksia, jotka sallivat Javascriptin lisäämisen, myös alkuperäinen sivusto saattaa vaikuttaa.
JSONPP ( eng. parameterized JSON with padding - "parameterized JSON with padding") - JSONP-idean kehittäminen.
JSONPP sisältää lähde-URL-osoitteen, JSON-tietoja käsittelevän toiminnon nimen, eval-merkkijonon tietojen vastaanottamisen jälkeen ja eval-merkkijonon, kun tiedot on valmis:
JSON_call ( SRC , JSONP , JSONPP , ONLOAD );lopulta kääntyy
ans = JSONP ( SRC ) { eval ( JSONPP ( ans )); eval ( LATAA ); }Yleensä parametrien määrällä ei ole merkitystä itse JSONPP-idealle. SRC, JSONP, JSONPP (ja niiden käsittely palvelinpuolella ja sitten asiakaspuolella) riittää, jotta se on JSONPP.
Harkitse esimerkkiä työskentelystä S3DB-palvelun kanssa.
function s3db_jsonpp_call ( src , next_eval ){ var call = "call_" + Math . satunnainen (). toString (). korvaa ( /\./g , "" ); var headID = asiakirja . getElementsByTagName ( "head" )[ 0 ]; var script = asiakirja . createElement ( 'script' ); käsikirjoitus . id = soita ; käsikirjoitus . type = 'text/javascript' ; // käyttäen täytettyä, parametroitua json-komentoa src = src + "&format=json&jsonp=s3db_jsonpp&jsonpp=" + next_eval + "&onload=remove_element_by_id('" + komentosarja . id + "')" ; käsikirjoitus . src = src ; headID . appendChild ( script ); // nouta vastaus } function s3db_jsonpp ( ans , jsonpp ){ eval ( jsonpp ); paluu ans ; } function remove_element_by_id ( id ){ var e = asiakirja . getElementById ( id ); e . parentNode . poistaLapsi ( e ); return false ; }Esimerkissä funktio s3db_jsonpp_call()luo komentosarjaelementin DOM:n head-osaan, jonka src vastaa JSONPP-kutsua.
Kun vastaus on saatu palvelimelta, sitä kutsutaan s3db_jsonpp() - se välitetään puheluparametreissa, kuten sen pitäisi olla JSONP-sääntöjen mukaan.
Sisäisesti s3db_jsonpp()toimii eval(jsonpp)ja ans:n arvo palautetaan.
Kutsuminen eval(onload) johtaa suoritukseen remove_element_by_id()luodun skriptin id:llä head-päässä ja lopulta sen poistamisen, koska sitä ei enää käytetä joka tapauksessa, koska esimerkin id luotiin satunnaisesti aivan funktion alussa s3db_jsonpp_call(). Tämä puhelu on palvelimen vastauksessa.
JSONB on binäärinen JSON-laajennus, joka esiteltiin PostgreSQL :n versiossa 9.4.18. Itse asiassa JSONB on JSON:n binääriesitys [18] sillä erolla, että välilyönnit poistetaan tallennetuista merkkijonoista, objektien lajittelua ei säilytetä ja vain viimeinen arvo kaksoisavainten tallennetaan [19] .
Asiakirjan merkintäkielet | |
---|---|
toimistoasiakirjat _ | |
tunnettu | |
Vähemmän Tunnettu |
Web ja verkkosivut | |
---|---|
maailmanlaajuisesti | |
Paikallisesti | |
Sivustojen ja palveluiden tyypit |
|
Luominen ja ylläpito | |
Asettelutyypit, sivut, sivustot |
|
Tekninen | |
Markkinointi | |
Yhteiskunta ja kulttuuri |