Безопасное превращение строки JSON в объект

Question

Безопасное превращение строки JSON в объект

1215

С учетом строки данных JSON, как вы можете безопасно превратить эту строку в объект JavaScript?

Очевидно, что вы можете сделать это небезопасно с чем-то вроде...

var obj = eval("(" + json + ')');

... но это оставляет нас уязвимыми для строки json, содержащей другой код, что кажется очень опасным для простого eval.

Matt Sheppard 05 сен. 2008, в 02:05

Источник

73

В большинстве языков eval несет дополнительный риск. Эвал оставляет открытую дверь для использования хакерами. ОДНАКО помните, что все JavaScript работает на клиенте. Ожидать, что это будет изменено хакерами. Они могут ПРОВЕРИТЬ все, что захотят, просто используя консоль. Вы должны построить свою защиту на стороне сервера.
Beachhouse 07 фев. 2013, в 17:34
17

Хорошо, сейчас 2014, и вы никогда не должны использовать eval для анализа строки JSON, потому что вы подвергаете свой код «внедрению кода». JSON.parse(yourString) используйте JSON.parse(yourString) .
Daniel 22 окт. 2014, в 06:27
0

Являются ли данные JSON литералом?
shanechiu 25 сен. 2017, в 10:02
0

@shanechiu: если вы имеете в виду скалярный тип данных, то да. Это просто строка с синтаксисом ключ-значение.
0zkr PM 17 сен. 2018, в 18:09

Показать ещё 2 комментария

Теги:

javascript

json

26 ответов

905

Метод jQuery теперь устарел. Вместо этого используйте этот метод:

let jsonObject = JSON.parse(jsonString);

Оригинальный ответ с использованием устаревшей функции jQuery:

Если вы используете jQuery, просто используйте:

jQuery.parseJSON( jsonString );

Это именно то, что вы ищете (см. документацию jQuery ).

Alex V 02 сен. 2010, в 14:32

6

Есть ли причина использовать это поверх JSON.parse ()?
Jon 20 март 2016, в 02:02
7

jQuery.parseJSON умолчанию использует JSON.parse если он существует, поэтому единственная причина использовать его JSON.parse реальной - это если вам нужен запасной вариант для <IE7. В jQuery 1.6 это было изменено: james.padolsey.com/jquery/#v=1.6.0&fn=jQuery.parseJSON
Karl-Johan Sjögren 05 апр. 2016, в 20:49
7

Обновление 2016: Начиная с jQuery 3.0, $ .parseJSON устарел, и вместо него следует использовать собственный метод JSON.parse.
jkdev 28 июнь 2016, в 22:36

Показать ещё 1 комментарий

136

Изменение: этот ответ предназначен для IE <7, для современных браузеров проверьте ответ Джонатана выше.

Изменение: этот ответ устарел, и Джонатан ответил выше (JSON.parse(jsonString)) теперь лучший ответ.

JSON.org имеет парсер JSON для многих языков, включая 4 разных для Javascript. Я считаю, что большинство людей будут рассматривать json2.js их реализацию goto.

John 05 сен. 2008, в 00:15

21

Я бы хотел, чтобы люди перестали голосовать за этот ответ. Он был точным, когда он был опубликован в 2008 году. Просто добавьте новый.
John 16 янв. 2015, в 02:26
17

Если ответ устарел, рассмотрите возможность его обновления.
Sotirios Delimanolis 07 март 2015, в 05:35
2

для IE <8 вы должны использовать это.
Mahmoodvcs 16 июль 2015, в 20:22

Показать ещё 1 комментарий

60

Используйте простой код, представленный в следующей ссылке в MSDN.

var jsontext = '{"firstname":"Jesper","surname":"Aaberg","phone":["555-0100","555-0120"]}';
var contact = JSON.parse(jsontext);

и наоборот

var str = JSON.stringify(arr);

Ronald 15 дек. 2013, в 23:47

4

Пожалуйста, постарайтесь процитировать ссылки на английском языке (для нашей международной аудитории) ... например, msdn.microsoft.com/en-us/en-uk/library/ie/…
MikeD 18 фев. 2014, в 10:21

19

Я не уверен в других способах этого делать, но вот как вы это делаете в Prototype (учебное пособие JSON).

new Ajax.Request('/some_url', {
  method:'get',
  requestHeaders: {Accept: 'application/json'},
  onSuccess: function(transport){
    var json = transport.responseText.evalJSON(true);
  }
});

Вызов evalJSON() с true, поскольку аргумент дезинфицирует входящую строку.

Mark Biek 05 сен. 2008, в 00:58

16

Кажется, это проблема:

Вход получен, через ajax websocket и т.д., и он всегда будет в формате String, но вам нужно знать, является ли это JSON.parsable. Touble - это то, что если вы всегда запускаете его через JSON.parse, программа МОЖЕТ продолжить "успешно", но вы все равно увидите ошибку, выброшенную в консоли с ужасным "Ошибка: неожиданный токен" x ".

var data;

try {
  data = JSON.parse(jqxhr.responseText);
} catch (_error) {}

data || (data = {
  message: 'Server error, please retry'
});

Cody 29 апр. 2013, в 08:39

0

NO. Проблема заключается в том, что вы ожидаете объект JSON и можете получить (function(){ postCookiesToHostileServer(); }()); или даже более неприятные вещи в контексте Node.
Yaur 15 апр. 2014, в 21:56
0

Хорошо JSON.parse очищает ввод функций (что в этом случае не помогло бы как его IIF -> объект). Кажется, лучший способ решить эту тему - попробовать / поймать. (См. Редактировать)
Cody 24 апр. 2014, в 21:11

12

Если вы используете jQuery, вы также можете просто сделать $.getJSON(url, function(data) { });

Затем вы можете делать такие вещи, как data.key1.something, data.key1.something_else и т.д.

Leanan 24 окт. 2008, в 15:52

0

Вы используете JQuery, не так ли?
Alexandre C. 02 сен. 2010, в 14:09

11

$.ajax({
  url: url,
  dataType: 'json',
  data: data,
  success: callback
});

Обратный вызов передается возвращенными данными, которые будут объектом или массивом JavaScript, как определено структурой JSON, и анализируются с использованием метода $.parseJSON().

Prahlad 06 май 2010, в 06:33

10

Просто для удовольствия, вот как использовать функцию:

 jsonObject = (new Function('return ' + jsonFormatData))()

lessisawesome 15 окт. 2014, в 09:32

0

Интересный подход, я не уверен, что использовал бы это с доступным JSON.Parse, но приятно видеть, что кто-то думает вне коробки.
user1017882 03 сен. 2015, в 10:58
3

Это очень похоже на использование eval и не безопасно. :П
Florrie 07 нояб. 2015, в 12:18
4

Это имеет все недостатки использования eval но сложнее и труднее понять сопровождающим.
Quentin 24 нояб. 2015, в 15:06

Показать ещё 1 комментарий

9

Попробуйте использовать метод с этим объектом Data. ex: Data='{result:true,count:1} '

try {
  eval('var obj=' + Data);
  console.log(obj.count);
}
catch(e) {
  console.log(e.message);
}

Этот метод действительно помогает в Nodejs, когда вы работаете с программированием последовательного порта

GPrathap 15 июль 2014, в 19:20

0

Это действительно забавно, как люди зациклены на «eval is evil», и они сделают все, чтобы избежать этого, даже переписав всю функциональность eval…
diynevala 12 сен. 2014, в 10:52
0

Является ли консенсус этот трюк безопасным методом превращения строки в объект JSON? Я мог бы использовать это, так как не требуется дополнительный импорт JS.
Whome 13 окт. 2014, в 10:48
0

ЛЮБОЙ подход с использованием eval или Function одинаково уязвим
Slai 03 июнь 2018, в 12:32
0

undefined; function bye() {...} bye();
Salvioner 22 янв. 2019, в 12:41

Показать ещё 2 комментария

7

Самый простой способ с использованием метода parse():

var response = '{"result":true,"count":1}';
var JsonObject= JSON.parse(response);

то вы можете получить значения элементов Json, например:

var myResponseResult = JsonObject.result;
var myResponseCount = JsonObject.count;

Используя jQuery, как описано в документации

JSON.parse(jsonString);

Jorgesys 20 фев. 2016, в 02:00

6

Использование JSON.parse, вероятно, лучший способ. Вот пример живая демонстрация

var jsonRes = '{ "students" : [' +
          '{ "firstName":"Michel" , "lastName":"John" ,"age":18},' +
          '{ "firstName":"Richard" , "lastName":"Joe","age":20 },' +
          '{ "firstName":"James" , "lastName":"Henry","age":15 } ]}';
var studentObject = JSON.parse(jsonRes);

Bharath Kumaar 22 апр. 2015, в 10:38

6

Я успешно использовал json_sans_eval некоторое время. По словам его автора, он более безопасен, чем json2.js.

teleclimber 06 дек. 2010, в 22:54

4

Я нашел "лучший" способ:

В CoffeeScript:

try data = JSON.parse(jqxhr.responseText)
data ||= { message: 'Server error, please retry' }

В Javascript:

var data;

try {
  data = JSON.parse(jqxhr.responseText);
} catch (_error) {}

data || (data = {
  message: 'Server error, please retry'
});

Dorian 18 фев. 2015, в 14:51

2

Преобразование объекта в JSON, а затем его разбор, работает для меня, например:

JSON.parse(JSON.stringify(object))

Liuver Reynier Durán Pérez 19 июнь 2017, в 18:15

1

Вы пропустили закрывающую скобку.
Salomon Zhang 20 дек. 2017, в 01:13

2

Разбор JSON - это всегда боль в заднице. Если вход не соответствует ожиданиям, он выдает ошибку и выдает сбой, что вы делаете. Вы можете использовать следующую крошечную функцию для безопасного анализа ввода. Он всегда поворачивает объект, даже если вход недействителен или уже является объектом, который лучше для большинства случаев.

JSON.safeParse = function (input, def) {
  // Convert null to empty object
  if (!input) {
    return def || {};
  } else if (Object.prototype.toString.call(input) === '[object Object]') {
    return input;
  }
  try {
    return JSON.parse(input);
  } catch (e) {
    return def || {};
  }
};

Tahsin Turkoz 14 фев. 2017, в 22:26

0

Object.prototype.toString.call(input) === '[object Object]' должен быть typeof input === 'object' IMO
Serge K. 06 дек. 2017, в 16:16
0

Ввод typeof возвращает объект для нуля и массивов. Так что это не безопасный способ сделать это.
Tahsin Turkoz 09 янв. 2018, в 20:13
0

Вы уже рассмотрели null случай раньше, и массив является объектом. Если вы хотите проверить это, вы можете использовать instanceof . Более того, если вы передадите этой функции Array , она будет ловить и return def когда она могла бы вернуть идеальный массив.
Serge K. 10 янв. 2018, в 08:56
0

Мой комментарий был о здравом смысле при ловле предметов. Моя функция может иметь несколько предупреждений, но использование ввода typeof не является предпочтительным способом обнаружения объектов в целом.
Tahsin Turkoz 10 янв. 2018, в 09:30
0

IMO, здравый смысл не использует метод toString() для проверки, является ли переменная объектом или нет. Смотрите AngularJS , jQuery , Underscore или даже разработчиков
Serge K. 10 янв. 2018, в 13:34
0

Это работает, нет никаких сомнений. Но что, если странная библиотека переопределяет toString ? Мне кажется ненадежным полагаться на строковое представление объекта для проведения такого рода теста. Вы используете особый случай представления toString чтобы проверить, является ли это объектом или нет. Но что, если вы хотите улучшить свою функцию и проверить, является ли она массивом? Вы бы использовали toString вместе с substring ?
Serge K. 10 янв. 2018, в 13:44
0

Хм интересный случай. Это было бы как-то даже если бы это был крошечный шанс. Однако все еще думая, что это более безопасный способ отличить объекты от массивов, так как typeof не работает даже с нулевым значением.
Tahsin Turkoz 10 янв. 2018, в 19:08

Показать ещё 5 комментариев

2

JSON.parse(jsonString);

json.parse изменится на объект.

Shekhar Tyagi 19 дек. 2016, в 14:18

1

Официально задокументировано:

Метод JSON.parse() анализирует строку JSON, JSON.parse() значение или объект JavaScript, описанные в строке. Для выполнения преобразования на результирующий объект перед его reviver может быть предоставлена дополнительная функция reviver.

Синтаксис

JSON.parse(text[, reviver])

параметры

текст

Строка для синтаксического анализа как JSON. См. Объект JSON для описания синтаксиса JSON.

reviver (необязательно)

Если функция, это предписывает, как значение, первоначально созданное путем синтаксического анализа, преобразуется перед возвратом.

Возвращаемое значение

Объект, соответствующий данному тексту JSON.

Исключения

Выдает исключение SyntaxError, если строка для разбора недействительна JSON.

Salomon Zhang 20 дек. 2017, в 02:10

1

JSON.parse() преобразует любую строку JSON, переданную в функцию, в объект JSON.

Для лучшего понимания нажмите F12, чтобы открыть Inspect Element своего браузера и перейти к консоли, чтобы написать следующие команды: -

var response = '{"result":true,"count":1}'; //sample json object(string form)
JSON.parse(response); //converts passed string to JSON Object.

Теперь запустите команду: -

console.log(JSON.parse(response));

вы получите результат как Object {result: true, count: 1}.

Чтобы использовать этот объект, вы можете назначить его переменной let say obj: -

var obj = JSON.parse(response);

Теперь, используя оператор obj и dot (.), вы можете получить доступ к свойствам объекта JSON.

Попробуйте выполнить команду

console.log(obj.result);

Pushkar Kathuria 03 дек. 2016, в 16:07

0

Резюме:

Javascript (как браузер, так и NodeJS) имеет встроенный объект JSON. На этом объекте есть два удобных метода работы с JSON. Они следующие:

JSON.parse() Принимает JSON качестве аргумента, возвращает объект JS
JSON.stringify() Принимает объект JS, поскольку аргумент возвращает объект JSON

Другие приложения:

Кроме того, для очень удобного использования JSON они могут использоваться для других средств. Комбинация обоих методов JSON позволяет нам очень легко сделать глубокие клоны массивов или объектов. Например:

let arr1 = [1, 2, [3 ,4]];
let newArr = arr1.slice();

arr1[2][0] = 'changed'; 
console.log(newArr); // not a deep clone

let arr2 = [1, 2, [3 ,4]];
let newArrDeepclone = JSON.parse(JSON.stringify(arr2));

arr2[2][0] = 'changed'; 
console.log(newArrDeepclone); // A deep clone, values unchanged

Willem van der Veen 18 авг. 2018, в 10:48

0

Разделите строку json с помощью JSON.parse(), и данные станут объектом JavaScript.

JSON.parse(jsonString)

Здесь JSON представляет собой процесс обработки набора данных json.

Пример. Представьте, что мы получили этот текст с веб-сервера:

'{ "name":"John", "age":30, "city":"New York"}'

Чтобы проанализировать json-объект:

var obj = JSON.parse('{ "name":"John", "age":30, "city":"New York"}');

Здесь obj - соответствующий объект JSON, который выглядит следующим образом.

{ "name":"John", "age":30, "city":"New York"}

Для выбора используемого значения. оператор Пример:

obj.name // John
obj.age //30

Чтобы передать противоположное, преобразуйте объект JavaScript в строку с помощью JSON.stringify().

Amitesh 13 авг. 2018, в 03:30

0

Попробуйте это. Этот текст написан в машинописном тексте.

         export function safeJsonParse(str: string) {
               try {
                 return JSON.parse(str);
                   } catch (e) {
                 return str;
                 }
           }

Supun Dharmarathne 30 май 2018, в 07:10

0

Я новичок в Typescript. Какую пользу это добавляет к JSON.parse() ?
Marc L. 19 окт. 2018, в 12:30
0

Если произошло какое-либо исключение, это вернет саму входную строку
Supun Dharmarathne 31 окт. 2018, в 06:55

0

Если ваш JavaScript находится в Mootools, JSON.parse будет анонимным с помощью Framework.
Правильный синтаксис для безопасного превращения строки JSON в объект должен быть:

var object = JSON.decode(string[, secure]);

Кроме того, JSON Request может поднять объект, который может анализировать напрямую.
Вы можете cek как это сделать json сырые данные здесь:

http://jsfiddle.net/chetabahana/qbx9b5pm/

Chetabahana 11 май 2018, в 19:50

0

Более старый вопрос, я знаю, однако никто не замечает этого решения, используя new Function(), анонимную функцию, которая возвращает данные.

Просто пример:

 var oData = 'test1:"This is my object",test2:"This is my object"';

 if( typeof oData !== 'object' )
  try {
   oData = (new Function('return {'+oData+'};'))();
  }
  catch(e) { oData=false; }

 if( typeof oData !== 'object' )
  { alert( 'Error in code' ); }
 else {
        alert( oData.test1 );
        alert( oData.test2 );
      }

Это немного более безопасно, потому что он выполняет внутри функции и не компилируется в вашем коде напрямую. Поэтому, если внутри него есть объявление функции, оно не будет привязано к объекту окна по умолчанию.

Я использую это для "компиляции" параметров конфигурации элементов DOM (например, атрибута данных) простым и быстрым.

Codebeat 19 фев. 2018, в 01:57

0

Вы также можете использовать функцию reviver для фильтрации.

var data = JSON.parse(jsonString, function reviver(key, value) {
   //your code here to filter
});

для получения дополнительной информации прочитайте JSON.parse

Durgpal Singh 26 июль 2017, в 09:07

0

JS Guru Douglas Crockford написал функцию parseJSON, которую вы скачать здесь

Manu 05 сен. 2008, в 01:09

Ещё вопросы

В большинстве языков eval несет дополнительный риск. Эвал оставляет открытую дверь для использования хакерами. ОДНАКО помните, что все JavaScript работает на клиенте. Ожидать, что это будет изменено хакерами. Они могут ПРОВЕРИТЬ все, что захотят, просто используя консоль. Вы должны построить свою защиту на стороне сервера.
Хорошо, сейчас 2014, и вы никогда не должны использовать eval для анализа строки JSON, потому что вы подвергаете свой код «внедрению кода». JSON.parse(yourString) используйте JSON.parse(yourString) .
@shanechiu: если вы имеете в виду скалярный тип данных, то да. Это просто строка с синтаксисом ключ-значение.
Есть ли причина использовать это поверх JSON.parse ()?
jQuery.parseJSON умолчанию использует JSON.parse если он существует, поэтому единственная причина использовать его JSON.parse реальной - это если вам нужен запасной вариант для <IE7. В jQuery 1.6 это было изменено: james.padolsey.com/jquery/#v=1.6.0&fn=jQuery.parseJSON
Обновление 2016: Начиная с jQuery 3.0, $ .parseJSON устарел, и вместо него следует использовать собственный метод JSON.parse.
Я бы хотел, чтобы люди перестали голосовать за этот ответ. Он был точным, когда он был опубликован в 2008 году. Просто добавьте новый.
Если ответ устарел, рассмотрите возможность его обновления.
для IE <8 вы должны использовать это.
Пожалуйста, постарайтесь процитировать ссылки на английском языке (для нашей международной аудитории) ... например, msdn.microsoft.com/en-us/en-uk/library/ie/…
NO. Проблема заключается в том, что вы ожидаете объект JSON и можете получить (function(){ postCookiesToHostileServer(); }()); или даже более неприятные вещи в контексте Node.
Хорошо JSON.parse очищает ввод функций (что в этом случае не помогло бы как его IIF -> объект). Кажется, лучший способ решить эту тему - попробовать / поймать. (См. Редактировать)
Интересный подход, я не уверен, что использовал бы это с доступным JSON.Parse, но приятно видеть, что кто-то думает вне коробки.
Это очень похоже на использование eval и не безопасно. :П
Это имеет все недостатки использования eval но сложнее и труднее понять сопровождающим.
Это действительно забавно, как люди зациклены на «eval is evil», и они сделают все, чтобы избежать этого, даже переписав всю функциональность eval…
Является ли консенсус этот трюк безопасным методом превращения строки в объект JSON? Я мог бы использовать это, так как не требуется дополнительный импорт JS.
ЛЮБОЙ подход с использованием eval или Function одинаково уязвим
Вы пропустили закрывающую скобку.
Object.prototype.toString.call(input) === '[object Object]' должен быть typeof input === 'object' IMO
Ввод typeof возвращает объект для нуля и массивов. Так что это не безопасный способ сделать это.
Вы уже рассмотрели null случай раньше, и массив является объектом. Если вы хотите проверить это, вы можете использовать instanceof . Более того, если вы передадите этой функции Array , она будет ловить и return def когда она могла бы вернуть идеальный массив.
Мой комментарий был о здравом смысле при ловле предметов. Моя функция может иметь несколько предупреждений, но использование ввода typeof не является предпочтительным способом обнаружения объектов в целом.
IMO, здравый смысл не использует метод toString() для проверки, является ли переменная объектом или нет. Смотрите AngularJS , jQuery , Underscore или даже разработчиков
Это работает, нет никаких сомнений. Но что, если странная библиотека переопределяет toString ? Мне кажется ненадежным полагаться на строковое представление объекта для проведения такого рода теста. Вы используете особый случай представления toString чтобы проверить, является ли это объектом или нет. Но что, если вы хотите улучшить свою функцию и проверить, является ли она массивом? Вы бы использовали toString вместе с substring ?
Хм интересный случай. Это было бы как-то даже если бы это был крошечный шанс. Однако все еще думая, что это более безопасный способ отличить объекты от массивов, так как typeof не работает даже с нулевым значением.
Я новичок в Typescript. Какую пользу это добавляет к JSON.parse() ?
Если произошло какое-либо исключение, это вернет саму входную строку

Jonathan. · Accepted Answer · 2011-04-16T13-43-00.000Z

1668

Лучший ответ

JSON.parse(jsonString) - это чистый подход к JavaScript, если вы можете гарантировать разумно современный браузер.

Jonathan. 16 апр. 2011, в 13:43

68

Я уверен, что это безопасно для Node.js
Stephen 18 окт. 2011, в 17:07
1

Он поддерживается не во всех браузерах, но скрипт по ссылке ниже добавляет его в браузеры, в которых его нет: github.com/douglascrockford/JSON-js/blob/master/json2.js
speedplane 12 янв. 2013, в 05:53
71

@vsync вы понимаете, что это ЕДИНСТВЕННЫЙ чистый ответ Javascript ... если вы прочитаете описание тега javascript, вы увидите это ... " Если тег для фреймворка / библиотеки также не включен, чистый ответ JavaScript Ожидается. ".. Я даю это +1 за то, что я единственный ответ javascript ...
iConnor 21 июль 2013, в 22:31
4

Довольно безопасно для использования .
Redsandro 08 окт. 2013, в 11:52
11

Если вы работаете с NodeJS, я не смог бы загрузить jQuery просто для анализа jsonString в объект JSON. Так что ответ Джонатана upvote
Antony 15 окт. 2013, в 16:49
0

не поддерживается IE8, некоторые версии IE9 и более старые версии всех других браузеров
Alex V 04 май 2014, в 14:34
0

Действительно, JSON есть не в каждом браузере и был добавлен недавно. Для того чтобы некоторые браузеры поддерживали JSON, вам необходимо загрузить внешнюю библиотеку, например: github.com/douglascrockford/JSON-js
Grzegorz 27 май 2014, в 11:08
5

По этой ссылке он поддерживается IE8 +, хотя в нем говорится: « Requires document to be in IE8+ standards mode to work in IE8.
JoshuaDavid 12 янв. 2015, в 21:19
0

Если вы абсолютно не уверены в источнике json, никогда не помешает иметь блок try / catch для обработки сценариев, в которых json недопустим.
GMchris 28 янв. 2016, в 12:19
1

Я думаю, что здесь стоит упомянуть, что было бы неплохо изящно обработать ошибку, добавив try{} catch(e){}
JaeGeeTee 28 сен. 2017, в 14:46
0

Действительно ли это безопасно от предоставленного пользователем контента? Может ли это привести к атаке с использованием сценария, например, если jsonString имеет значение '{"color": "deep </script><script>alert('pwnd!')</script> purple"}' ?
prototype 17 авг. 2018, в 03:16

Показать ещё 9 комментариев