什么是JSON
- JSON是一种数据交换格式
- JSON独立于编程语言,虽然是JS的子集
- JSON基于JS对象字面量表示法
- JSON表达数据的方式对通用的编程概念友好(可移植性)
PS:
表示法:一个用于表示数据的字符系统
数据交换格式:用于不同平台或系统间交换数据的文本
可移植性:不同系统平台间兼容性好
JSON语法
- JSON基于JS对象字面量中表示属性的语法,但不包含JS对象中的方法
- JSON的名称-值对中,名称始终被双引号包裹(""),值可以是字符串,数字,布尔值,null,对象或数组
- 名称-值对列表被花括号包裹({})
- 多个名称-值对间用逗号(,)隔开
- 文件扩展名为.json
- 媒体类型为application/json
举个栗子
{
"age":20,
"name":"tao",
"sex":"man"
}
字面量:是对数据值的具体表示
变量:通过标识符来表示的,可修改的值
x = x + 5其中5就是一个数字字面量
JSON的数据类型
- JSON的布尔类型的值只有true和false,必须小写
- JSON的null值也必须小写
- 数据类型的对象和数组的一个关键区别是,对象是名称-值对构成的列表或集合,数据是值构成的列表和集合
- 对象和数组另一个区别是,数组中的值应具有相同的数据类型(因为在JS里数组存入的数据类型可以不一样,但是使用JSON作为数据传输的又不只是JS,而大多数编程语言都不支持数组中的元素数据类型不一样)
举个栗子
{
"boy":{
"name":"tao",
"age":20
},
"arr":[
1,
2
]
}
ps:
JSON的字符串类型,使用("")双引号包裹(因为一般编程语言的string类型都是双引号包裹的)
布尔类型:true 或 false
数字类型:46 可以是整数,小数,或指数
null类型:null 代表一个空值
数组类型:用方括号包裹[]
对象类型:用花括号包裹{}
JSON Schema
数据交换中的一种虚拟"合同"
- JSON Schema 负责的是提供一致性的检验,是数据接收方的第一道防线,可以节省时间和保证数据正确,像是一个过滤器。
- JSON Schema可以解决如下问题
- 值的数据类型是否正确,规则值的数据类型
- 是否是我要的数据,具体规定哪些是我要的,哪些是我不要的
- 可以规定值的范围,最大值和最小值
JSON中的安全问题
- 服务端:提供服务的一端,例如 Web服务器
- 客户端:请求服务的一端,例如 Web浏览器
- 跨站请求伪造(CSRF)
指利用站点对用户浏览器的信任进行的攻击,比如GET请求中直接暴露在外的用户信息 - 顶层JSON数组
存于JSON名称-值对之外的位于文档最顶层的JSON数组,虽然在JS中允许,但不规范,也存在安全问题,不推荐使用 - 注入攻击
利用某些bug注入恶意代码进行攻击 - JSON跨站脚本攻击
通过截取或将站点中所使用的第三方代码更换为恶意脚本,进行注入攻击 - 关于JSON安全问题要注意以下几项
- 不要使用顶级数组
- 尽量使用POST请求
- 使用JSON.parse()代替eval()方法,因为eval()方法容易被注入恶意代码
JavaScript中的XMLHttpRequest与Web API
- Web API
通过HTTP与服务进行交互的一系列指令与标准 - XMLHttpRequest
一种JavaScript对象,无需刷新页面即可从一个URL获取数据(异步交互),常用与Ajax编程 - 超文本传输协议 http
- 序列化
将对象转化为文本的操作,JSON.stringify() JavaScript对象转为JSON字符串 - 反序列化
将序列化的文本转化为对象的操作,JSON.parse() JSON字符串转为JavaScript对象 - 同源策略
出于安全考虑,浏览器仅会请求同一域的脚本 - 跨域资源共享(CORS)
通过设置响应头,使得跨域请求资源成功 - JSON-P
使用<script>标签,绕过同源策略的限制,实现不同域名的服务器上请求JSON - XMLHttpRequest与Web API是客户端和服务端的关系
- XMLHttpRequest并不只限于XML,还可以请求JSON资源
JSON与客户端框架
- 抽象化
一种处理复杂系统的技术,主要是把一个大问题分解为若干子问题 - 框架
一种可以节约时间,让我们更专注于构建功能的抽象化工具 - 单页Web应用
与传统的多页方式不同,着力于提供更加无缝的应用体验页面 - MVC
数据模型,视图,控制器
