JSON必知必会 学习笔记_json first account

于 2024-09-07 05:21:47 发布
阅读量868 收藏 6
点赞数 5
文章标签: json 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86640358/article/details/141980372
版权 
    {
        "person": {
 "name": "Lindsay Bassett",
 "heightInInches": 66,
 "head": {
 "hair": {
 "color": "light blond",
 "length": "short",
 "style": "A-line"
 },
 "eyes": "green"
 }
 }
 }

JSON Schema 校验数据

JSON Schema数据交换中的一种虚拟合同,负责提供一致性验证。是负责数据接收第一道防线,也是数据发送方节约时间,保证数据正确的好工具
JSON Schema在第一个键值对中声明$schema,并给定校验的地址。 第二个键值对为JSON Schema的标题,第三个就是我们要定义的一些属性了。下面是一个猫的schema文件。

{
    "$schema": "http://json-schema.org/draft-04/schema#",
    "title": "Cat",
    "properties": {
 "name": {
 "type": "string"
 },
 "age": {
 "type": "number",
 "description": "Your cat's age in years."
 },
 "declawed": {
 "type": "boolean"
 }
 }
}

JSON Schema可以解决下列一致性验证的问题

  • 1.值的数据类型是否正确?  可以具体规定一个值是数字、字符串等类型。
  • 2.是否包含所需要的数据?  可以具体规定哪些数据是需要的,哪些不需要的。
  • 3.值的形式是不是我需要的?  可以指定范围,最小值最大值。
 {
    "$schema": "http://json-schema.org/draft-04/schema#",
    "title": "Cat",
    "properties": {
 "name": {
 "type": "string",
 "minLength": 3,
 "maxLength": 20
 },
 "age": {
 "type": "number",
 "description": "Your cat's age in years.",
 "minimum": 0
 },
 "declawed": {
 "type": "boolean"
 },
 "description": {
 "type": "string"
 }
 },
    "required": [
 "name",
 "age",
 "declawed"
 ]
}

通过对属性字段进行约束来达到对数据的约束,同时还可以通过required属性来确定需要的数据,以及确定数据格式。

JSON与web安全

常见的web安全有跨站请求伪造CSRF,和脚本注入XSS。跨站请求伪造(CSRF),指利用站点对用户浏览器的信任进行攻击。注入攻击依赖于将数据注入到web应用程序以方便恶意数据执行或编译的攻击。

JSON本身不构成什么威胁,它只是文本。

在定位JSON安全问题时,应该记住以下3件事.

1.不要使用顶级数组,顶级数组是合法的JavaScript脚本,他们可以用<script>标签链接并使用。

 [
    {
        "user": "bobbarker"
 },
    {
        "phone": "555-555-5555"
 }
]

上面的json格式是合法的,但是这种合法的json格式比较危险,叫做顶层的json数组。因为网站一般会利用存在cookies或者session中的信息进行验证当前用户是否属于合法信息。

<script src="https://www.yourspecialbank.com/user.json"></script>

通过广告或者色情图片的链接,诱导用户去点击,这就使得user.json数据被黑客给窃取了。

所以可以通过将数组放在对象中,编程非法的JavaScript,这样就避免了script的加载。

{
    "info": [
 {
 "user": "bobbarker"
 },
 {
 "phone": "555-555-5555"
 }
 ]
}

这只是一个实例,CSRF实际上就是通过登录网址的登录态,在还没退出之前通过这一信任凭证,诱导你点击一个危险的script标签,

当黑客知道了银行站点存储json数据的url地址后,会把它放在一个scritp标签中,通过script标签来绕开同源策略,由于顶层JSON数组是合法的JavaScript代码,它就可以得到我们的数据。

2.对于不想公开的资源,仅允许使用HTTPPost方法请求,而不是Get方法,get方法可以通过url请求,甚至放在script标签中。

另外一个就是XSS攻击,这更多了,这是因为JavaScript的eval()函数会将传入的字符串无差异化的编译执行,这就使得一些人利用这一漏洞,在里面执行一个JavaScript脚本。比如利用一些不那么规矩的JSON,虽然合法,但是有很大的漏洞。

{
    "message": "<div onmouseover=\"alert('gotcha!')\">hover here.</div>"
}

3.使用JSON.parser()来替代eval(),eval()函数会将传入的字符串编译并执行,

var jsonString = "alert('this is bad')";
var myObject = eval("(" + jsonString + ")");
alert(myObject.animal);

这会让你的代码易被攻击,应仅使用JSON.parser()来解析json数据。

        var jsonString = '{"animal":"cat"}';
        var myObject = JSON.parse(jsonString);
        alert(myObject.animal);

安全漏洞通常由于开发人员没有考虑“黑客如何利用这一点”这一问题所导致的。

JSON与XMLHTTPRequest

XMLHTTPRequest并不仅限于XML,还可以用它来请求JSON资源

正常的建立一个ajax过程的连接是

var myXMLHttpRequest = new XMLHttpRequest();
var url = "http://api.openweathermap.org/data/2.5/weather?lat=35&lon=139";
myXMLHttpRequest.onreadystatechange = function() {
    if (myXMLHttpRequest.readyState === 4 && myXMLHttpRequest.status === 200) {
        //JSON的反序列化
        var myObject = JSON.parse(myXMLHttpRequest.responseText);

        // 对象序列化
        var myJSON = JSON.stringify(myObject);                  
        // let's display this in the div with the id "json"
        document.getElementById("json").innerHTML = myJSON;
    }
    else if (myXMLHttpRequest.readyState === 4 && myXMLHttpRequest.status !== 200)
    {
       // fail.
    }   
}
myXMLHttpRequest.open("GET", url, true);
myXMLHttpRequest.send();

序列化是指将对象转化为文本的操作,反序列化是指将文本转化为对象的操作。

跨域的问题,可以通过CORS通过服务端设置

Access-Control-Allow-Credentials:true 
Access-Control-Allow-Methods:GET, POST 
Access-Control-Allow-Origin:\*

通过哪些允许哪些HTTP方法,哪些域名下的js文件的共享。

通过JSONP动态插入script标签,并添加到html文档中,这样就可以不受同源策略的影响了。并通过queryString问号后面的参数来告诉服务器是哪个回调函数。

<script>
 function getTheAnimal(data) {
 var myAnimal = data.animal; 
 alert(myAnimal);
 }
 var script = document.createElement("script");
 script.type = "text/javascript";
 script.src = "example.json?callback=doSomething";
 document.getElementsByTagName('head')[0].appendChild(script);
</script>

通过JSONP动态命名函数:

doSomething({
     "animal": "cat"
});

JSON与客户端框架

1.JSON与Jquery

  • Jquery.parserJSON()

Jqury是专注于操作DOM的第三方类库,同时对JSON的处理也进行了改进,这样不仅让我们在实现相同功能的时候减少了代码量的输出,更多的还做了浏览器兼容性的处理。比如前面提到的JSON.sparse(),jQuery也有自己的JQuery.parseJSON函数。

var myAnimal = JSON.parse('{ "animal" : "cat" }');
var myAnimal = jQuery.parseJSON('{ "animal" : "cat" }');

通过阅读源码,可以发现一个jquery的函数,它不仅调用JSON.parser()函数,还会兼容那些不支持JSON.parser()函数的老式浏览器,且通过验证字符来评估字符串,从而避免了可能的安全问题。

  • jquery.getJSON()

在发送HTTP请求上,jQuery也为我们做了很多。jquery.ajax()函数的简写形式,其中包含了将json解析为JavaScript对象的功能。
原来发送一个Ajax请求

<script>
    var myXMLHttpRequest = new XMLHttpRequest();
    var url = "http://api.openweathermap.org/data/2.5/weather?lat=35&lon=139";
    myXMLHttpRequest.onreadystatechange = function() {
        if (myXMLHttpRequest.readyState === 4 && myXMLHttpRequest.status === 200) {
            var myObject = JSON.parse(myXMLHttpRequest.responseText);
            var description = "It's " + myObject.weather[0].description + " and " + myObject.main.temp + " degrees in " + myObject.name + ".";
            document.getElementById("weather").innerHTML = description;

            var myJSON = JSON.stringify(myObject); 
            document.getElementById("json").innerHTML = myJSON;
        }
        else if (myXMLHttpRequest.readyState === 4 && myXMLHttpRequest.status !== 200)
        {
           // fail.
           document.getElementById("weather").innerHTML = "failed.";
           document.getElementById("json").innerHTML = "failed.";
           document.getElementById("error").innerHTML = "Unable to connect to the open weather map API."
        }   
    }
    myXMLHttpRequest.open("GET", url, true);
    myXMLHttpRequest.send();
</script>

通过jQuery的封装

<script>
 var myXMLHttpRequest = new XMLHttpRequest();
 var url = "http://api.openweathermap.org/data/2.5/weather?lat=35&lon=139";
 $.getJSON(url, function(data) {
 var description = "It's " + data.weather[0].description + " and " + data.main.temp + " degrees in " + data.name + ".";
 document.getElementById("weather").innerHTML = description;

 // The object serialized 
 var myJSON = JSON.stringify(data); 
 // let's display this in the div with the id "json"
 document.getElementById("json").innerHTML = myJSON;
 })
 .error(function() { 
 document.getElementById("weather").innerHTML = "failed.";
 document.getElementById("json").innerHTML = "failed.";
 document.getElementById("error").innerHTML = "Unable to connect to the open weather map API."
 });

</script>

2. Angular与JSON

angular是一个MVVM型框架,以数据驱动。它通过$http来请求数据,这样使得看起来更为简洁。只需要简单的几行就能搞定。

angular.module('myApp', []).controller('myAppController', function($scope, $http) {
    $http.get('http://api.openweathermap.org/data/2.5/weather?lat=35&lon=139').success(function(data, status, headers, config) {
        $scope.weatherData = data;
    });
});

服务端的JSON

JSON作为一种数据交换格式,要在web端使用,必须得到客户端与服务器端的致辞。

客户端:HTML+CSS+Javascript

服务端:PHP,JAVA,Node,.NET, RuBy,Go….

PHP 与 JSON

PHP是用于创建动态web页面的服务端脚本语言。

  1. 序列化

在PHP中,可以通过内置的JSON支持快速的将PHP对象序列化。通过json_encode()函数将PHP对象序列化为一个JSON。

创建一个Address对象。

<?php 
            class Account {
                public $firstName;
                public $lastName;
                public $phone;
                public $gender;
                public $addresses;
                public $famous;
            }
            class Address {
                public $street;
                public $city;
                public $state;
                public $zip;
            }

            $address1 = new Address();
            $address1->street = "123 fakey st";
            $address1->city = "Somewhere";
            $address1->state = "CA";
            $address1->zip = 96027;

            $address2 = new Address();
            $address2->street = "456 fake dr";
            $address2->city = "Some Place";
            $address2->state = "CA";
            $address2->zip = 96345;

            $account = new Account();
            $account->firstName = "Bob";
            $account->lastName = "Barker";
            $account->gender = "male";
            $account->phone = "555-555-5555";
            $account->famous = true;
            $account->addresses = array($address1, $address2);
            $json = json_encode($account);

            echo $json;
?>

2.反序列化

PHP中JSON对象可以通过**json_decode()**函数将JSON反序列化为PHP对象,因为PHP对象类型不确定,所以不能一步到位,可以通过循环遍历该对象的属性来进行反序列化。

2401_86640358
关注
网安工具系列(仅供参考):学习笔记-nuclei
weixin_54626591的博客
04-17 188
学习笔记-nuclei
CCNP350-401学习笔记(101-150题)
最新发布
shuyan1115的博客
02-18 721
CCNP350-401学习笔记(2023.2.18)
网络编程-json数据解析
coder_bai的博客
08-09 1566
网络编程—json数据的手动解析与第三方jar包的使用,网络接口编程
根据jsonkey获取到对应的value
做一个有思想的技术人
05-09 1万+
项目偶尔会用到解析json,然后获取某个key的问题,这个有两个办法,一个是通过json创建一个对象出来,然后通过json转对象,然后通过对象获取对应的value,第二个是通过JsonObject获取对应keyvalue,但是只能从顶级一层一层的获取你想要的。 如果json简单,两种方法都可以。如果json复杂一点,两种方法都挺麻烦的,所以就打算自己写一个工具类,通过传进去一个key就能直接获取到value了。 但是有个问题就是如果key有多个重复的话就只能获取到第一个key了,不过这个问题也可以
解析json响应结果取某个key对应的value
ningmengbu_suan的博客
08-06 2482
1.如下图,结构为 如下: 第一层:success,"code","message","data" 第二层:data下有itemCoun,以及items 第三层:items下面有数组,每个数组由的k_v取 问题,如何取items里面的某个key对应的valUE 首先,取到data里面的数据 将String转化为JSONObject格式,取key为data的数据 第二步,由于items下面为数组,将itens数据转化为Array格式,取需要的index,然后选择key所对应的valu...
解析json字符串对应keyvalue
觏止_( •̀ ω •́ )y的博客
11-25 688
正则表达式应用 解析json字符串的对应keyvalue,当时写主要是为了解析json不完成导致不能通过fastJson之类转换的情况。 主要就是用了: (?<=pattern) 正向后行断言 (?=pattern) 正向先行断言 匹配以(“key”:")开头,以(")结尾的字符串,并且存储到分组 import java.util.ArrayList; import java.util.List; import java.util.regex.Matcher; import java.uti
java使用fastJson处理复杂Json字符串,直接获取key对应的value
08-10
java使用fastJson处理复杂Json字符串,直接获取key对应的value
2022年9月前端学习笔记
weixin_48894212的博客
09-01 3590
技术:vue3、typescript、uni-app、vuex、axios、css
MySQL数据学习笔记 零基础入门 面试 整理
weixin_45872999的博客
02-17 971
一、MySQL基础篇 1. 数据库技术的基本概念和方法 1.1 数据库基本概念 1】 数据 数据(Data)指对客观事物进行描述并可以鉴别的符号,这些符号是可识别的、抽象的,不仅仅指狭义上的数字,而是有多种表现形式:字母、文字、文本、图形、音频、视频等。 2】 数据数据库(Database,DB)指的是以一定格式存放、能够实现多个用户共享、与应用程序彼此独立的数据集合。 3】 数据库管理系统 数据库管理系统(Database Management System,DBMS)是用来定义和管理数据的软件,如何
Spring Cloud 学习笔记(3 / 3)
热门推荐
KISS
03-03 6万+
Spring Cloud 学习笔记(1 / 3) Spring Cloud 学习笔记(2 / 3) - - - 108_Nacos之Linux版本安装 109_Nacos集群配置(上) 110_Nacos集群配置(下) 111_Sentinel是什么 112_Sentinel下载安装运行 113_Sentinel初始化监控 114_Sentinel流控规则简介 115_Sentinel流控-QPS直接失败 116_Sentinel流控-线程数直接失败 117_Sentinel流控
解析json字符串,根据key得到对应的value的方法
wzmfla的博客
03-08 5196
最近公司的项目,写了个传入json字符串和要获取的key,返回相应value的方法。 public String jxJson(String mkey, String strJson) { String value = ""; try { JSONObject json = new JSONObject(strJson);
JSON字符串解析key-value获取键对的
qq_40310480的博客
07-05 1万+
最近在做日志解析这块,记录一下 转为map,循环得到keyvalue { "dt": "VENUS_TDS_V0700R0200B20150601", "level": 30, "id": "152321043", "type": "Alert Log", "time": 1467958351859, "source": { "ip": "172.20.0.6", "port...
shell解析json变量,获取key对应的value
攻城狮Kevin
12-18 2万+
shelljson变量进行解析,获取key1对应的value1的,如下: s="{"key1":"abc","key2":"value2","key3":"value3"}" parse_json(){ echo "${1//\"/}" | sed "s/.*$2:\([^,}]*\).*/\1/" } value=$(parse_json $s "key1") echo $value ...
json字符串插入节点或者覆盖节点
一切从零开始
12-12 5966
jfdaJsonjson字符串, JSONObject obj=JSONObject.parseObject(jfdaJson); obj.put("dj",xydjDm);// 更新dj字段 obj.put("xydjMc",xydjMc);// 添加xydjMc字段 obj.toString();
json对象找根节点
weixin_34351321的博客
05-19 756
2019独角兽企业重金招聘Python工程师标准>>> ...
获取json的所有keyvalue
这个博客记录我的成长。(专注前端开发,ehcarts图表开发,接定制),有需要请站内私信。
04-12 3万+
返回的是这样的[{"2018-04":0},{"2018-03":1},{"2018-02":0},{"2018-01":0},{"2017-12":0},{"2017-11":0},{"2017-10":0},{"2017-09":0},{"2017-08":0},{"2017-07":0},{"
根据jsonkey获取json对象value
qq_41988504的博客
01-10 2944
*注意 该方法只获取第一次出现的key对应的value public static String getJsonValue(String key, String jsonString) { //使用非贪婪模式 StringBuffer regex = new StringBuffer(); regex.append("\""); ...
全面解读《JSON必知必会》:跨平台数据交换关键
在阅读了《JSON必知必会》这本书后,作者分享了自己的深刻感受,强调了JSON在现代IT领域的重要性。JSON(JavaScript Object Notation)作为一种轻量级的数据交换格式,其核心概念包括: 1. **可移植性**:JSON的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值