我应该如何使用Node.js解析JSON?是否有一些模块可以安全地验证和解析JSON?
我应该如何使用Node.js解析JSON?是否有一些模块可以安全地验证和解析JSON?
Answers:
您可以简单地使用JSON.parse。
JSON对象的定义是ECMAScript 5规范的一部分。node.js基于Google Chrome的V8引擎构建,该引擎遵循ECMA标准。因此,node.js也有一个全局对象[docs]。JSON
注意- JSON.parse可以占用当前线程,因为它是一种同步方法。因此,如果您打算解析大型JSON对象,请使用流式JSON解析器。
您可以要求 .json文件。
var parsedJSON = require('./file-name');例如,如果您的config.json文件与源代码文件位于同一目录中,则可以使用:
var config = require('./config.json');或(可以省略文件扩展名):
var config = require('./config');请注意,这require是同步的,并且只读取一次文件,随后的调用从缓存返回结果
另请注意,只应在绝对控制下将其用于本地文件,因为它可能执行文件中的任何代码。
require是同步的。如果你想异步友好的使用fs.readFile,而不是用JSON.parse
.json扩展名!如果您的文件没有.json扩展名,则require不会将其视为json文件。
您可以使用JSON.parse()。
您应该能够JSON在任何ECMAScript 5兼容的JavaScript实现上使用该对象。而构建Node.js的V8就是其中之一。
注意:如果您使用JSON文件存储敏感信息(例如密码),那是错误的方法。查看Heroku如何做到:https : //devcenter.heroku.com/articles/config-vars#setting-up-config-vars-for-a-deployed-application。找出您的平台是如何做到的,并用于
process.env从代码中检索配置变量。
var str = '{ "name": "John Doe", "age": 42 }';
var obj = JSON.parse(str);您将不得不对fs模块进行一些文件操作。
var fs = require('fs');
fs.readFile('/path/to/file.json', 'utf8', function (err, data) {
if (err) throw err; // we'll not consider error handling for now
var obj = JSON.parse(data);
});var fs = require('fs');
var json = JSON.parse(fs.readFileSync('/path/to/file.json', 'utf8'));require吗?再想一想!var obj = require('path/to/file.json');但是,出于以下几个原因,我不建议您这样做:
require是同步的。如果您有一个非常大的JSON文件,它将阻塞您的事件循环。你真的需要使用JSON.parse带fs.readFile。require只会读取文件一次。随后require对同一文件的调用将返回缓存的副本。如果要读取.json不断更新的文件,则不是一个好主意。您可以使用hack。但是在这一点上,简单地使用会更容易fs。.json扩展名,require则不会将文件内容视为JSON。认真!使用JSON.parse。
load-json-file 模组如果您正在读取大量.json文件(并且非常懒惰),那么每次编写样板代码都会很烦人。您可以使用该load-json-file模块保存一些字符。
const loadJsonFile = require('load-json-file');loadJsonFile('/path/to/file.json').then(json => {
// `json` contains the parsed object
});let obj = loadJsonFile.sync('/path/to/file.json');如果JSON内容是通过网络流式传输的,则需要使用流式JSON解析器。否则,它将占用处理器并阻塞事件循环,直到JSON内容完全流式传输为止。
NPM中有许多与此相关的软件包。选择最适合您的东西。
如果不确定所传递的内容是否JSON.parse()是有效的JSON,请确保将调用包含JSON.parse()在一个try/catch块内。用户提供的JSON字符串可能会使您的应用程序崩溃,甚至可能导致安全漏洞。如果解析外部提供的JSON,请确保已完成错误处理。
and could even lead to security holes出于好奇,怎么办?
<script>...,并且该错误已泄漏到客户端,那么您那里就有一个XSS错误。因此,IMO必须在解析的正确位置处理JSON错误,这一点很重要。
requireJSON 会很酷吗?” 甚至都没有记录副作用。这也意味着require接受两种语言的文件:JavaScript和JSON(不,它们是不一样的)。SRP太多了。
使用JSON对象:
JSON.parse(str);我想提一下,全局JSON对象还有其他选择。
JSON.parse并且JSON.stringify都是同步的,因此如果您要处理大对象,则可能需要检出一些异步JSON模块。
看看:https : //github.com/joyent/node/wiki/Modules#wiki-parsers-json
JSON.parse整个应用程序都在分析格式错误的JSON ,或者使用崩溃,process.on('uncaughtException', function(err) { ... });最终将没有机会向用户发送“格式错误的JSON”错误。
async解析器是哪一个?我没找到。
包括node-fs库。
var fs = require("fs");
var file = JSON.parse(fs.readFileSync("./PATH/data.json", "utf8"));有关“ fs”库的更多信息,请参阅位于http://nodejs.org/api/fs.html的文档。
由于您不知道您的字符串实际上是有效的,因此我将其放在try catch中。另外,由于try catch块未按节点进行优化,因此我会将整个内容放入另一个函数中:
function tryParseJson(str) {
try {
return JSON.parse(str);
} catch (ex) {
return null;
}
}或以“异步样式”
function tryParseJson(str, callback) {
process.nextTick(function () {
try {
callback(null, JSON.parse(str));
} catch (ex) {
callback(ex)
}
})
}解析JSON流?使用JSONStream。
var request = require('request')
, JSONStream = require('JSONStream')
request({url: 'http://isaacs.couchone.com/registry/_all_docs'})
.pipe(JSONStream.parse('rows.*'))
.pipe(es.mapSync(function (data) {
return data
}))这里的每个人都讲过JSON.parse,所以我想说些别的。有一个很棒的模块,可以与许多中间件连接,以使应用程序的开发变得更轻松,更好。中间件之一是bodyParser。它解析JSON,html表单等。还有一个特定的中间件,用于仅解析noop的 JSON 。
看一下上面的链接,它可能对您真的很有帮助。
JSON.parse("your string");就这样。
就像这里提到的其他答案一样,您可能需要使用一个已知的安全且存在的本地json文件,例如配置文件:
var objectFromRequire = require('path/to/my/config.json'); 或使用全局JSON对象将字符串值解析为对象:
var stringContainingJson = '\"json that is obtained from somewhere\"';
var objectFromParse = JSON.parse(stringContainingJson);请注意,当您需要一个文件时,将对该文件的内容进行评估,如果它不是json文件而是js文件,则会带来安全风险。
在这里,我发布了一个演示,您可以在其中看到这两种方法并在线使用它们(解析示例在app.js文件中-然后单击“运行”按钮并在终端中查看结果): http:// staging1 .codefresh.io / labs / api / env / json-parse-example
您可以修改代码并查看影响...
使用JSON与Node.js进行配置?阅读本文,获得超过9000的配置技能...
注意:人们声称data = require('./ data.json'); 这是一种安全隐患,并且会以热心的热情低估人们的回答:您是完全错误的。尝试将非JSON在该文件中...节点会给你一个错误,正是像它会如果你没有用同样的事情很多慢,更难代码手册文件的读取,然后随后的JSON.parse()来。请停止散布错误信息;您在伤害世界,无济于事。Node被设计为允许这样做;这不是安全隐患!
正确的应用程序包含3 层以上的配置:
大多数开发人员将其服务器和应用程序配置视为可以更改的。不行 您可以将高层的更改彼此叠加,但是您正在修改基本需求。有些事情需要存在!使您的配置看起来像是不可变的,因为其中的一些基本上就像源代码一样。
在启动导致反模式后,未能看到很多东西不会改变,例如用try / catch块乱扔您的配置加载,并且假装您可以在没有正确设置应用程序的情况下继续。你不能 如果可以的话,它属于社区/用户配置层,而不是服务器/应用程序配置层。你只是做错了。当应用程序完成引导时,可选内容应放在顶部。
停止将头撞在墙上:您的配置应该非常简单。
看看使用简单的json配置文件和简单的app.js文件来设置与协议无关和数据源无关的服务框架一样复杂的事情是多么容易...
container-config.js ...
{
"service": {
"type" : "http",
"name" : "login",
"port" : 8085
},
"data": {
"type" : "mysql",
"host" : "localhost",
"user" : "notRoot",
"pass" : "oober1337",
"name" : "connect"
}
}index.js ...(为一切提供动力的引擎)
var config = require('./container-config.json'); // Get our service configuration.
var data = require(config.data.type); // Load our data source plugin ('npm install mysql' for mysql).
var service = require(config.service.type); // Load our service plugin ('http' is built-in to node).
var processor = require('./app.js'); // Load our processor (the code you write).
var connection = data.createConnection({ host: config.data.host, user: config.data.user, password: config.data.pass, database: config.data.name });
var server = service.createServer(processor);
connection.connect();
server.listen(config.service.port, function() { console.log("%s service listening on port %s", config.service.type, config.service.port); });app.js ...(支持与协议无关和与数据源无关的服务的代码)
module.exports = function(request, response){
response.end('Responding to: ' + request.url);
}使用此模式,您现在可以在启动的应用程序顶部加载社区和用户配置内容,开发人员可以将您的工作推入容器并进行扩展。您正在阅读多租户。用户区是隔离的。现在,您可以区分所使用的服务协议,所使用的数据库类型的关注点,而只专注于编写良好的代码。
因为你使用的图层,你可以依靠真理的一切的单一来源,在任何时候(分层配置对象),并在每一步避免错误检查,担心“哦废话,我应该如何去作这个没有正确的配置就可以工作?!?”。
我的解决方案:
var fs = require('fs');
var file = __dirname + '/config.json';
fs.readFile(file, 'utf8', function (err, data) {
if (err) {
console.log('Error: ' + err);
return;
}
data = JSON.parse(data);
console.dir(data);
});TypeError: path must be a string or Buffer出现错误-知道从哪里开始调试此问题?
只是想完成答案(我在一段时间内苦苦挣扎),想展示如何访问json信息,此示例显示了如何访问Json Array:
var request = require('request');
request('https://server/run?oper=get_groups_joined_by_user_id&user_id=5111298845048832', function (error, response, body) {
if (!error && response.statusCode == 200) {
var jsonArr = JSON.parse(body);
console.log(jsonArr);
console.log("group id:" + jsonArr[0].id);
}
})只是为了使其尽可能复杂,并引入尽可能多的软件包...
const fs = require('fs');
const bluebird = require('bluebird');
const _ = require('lodash');
const readTextFile = _.partial(bluebird.promisify(fs.readFile), _, {encoding:'utf8',flag:'r'});
const readJsonFile = filename => readTextFile(filename).then(JSON.parse);这使您可以:
var dataPromise = readJsonFile("foo.json");
dataPromise.then(console.log);或者,如果您使用的是异步/等待:
let data = await readJsonFile("foo.json");与仅使用readFileSync磁盘相比,优点是节点服务器可以在从磁盘读取文件时处理其他请求。
JSON.parse无法确保您解析的json字符串的安全。您应该查看json-safe-parse之类的库或类似的库。
从json-safe-parse npm页面:
JSON.parse很棒,但是在JavaScript上下文中有一个严重的缺陷:它允许您重写继承的属性。如果要从不受信任的来源(例如,用户)解析JSON,并在其上调用函数,那么这可能会成为问题。
利用Lodash的try函数返回错误对象,您可以使用isError函数进行处理。
// Returns an error object on failure
function parseJSON(jsonString) {
return _.attempt(JSON.parse.bind(null, jsonString));
}
// Example Usage
var goodJson = '{"id":123}';
var badJson = '{id:123}';
var goodResult = parseJSON(goodJson);
var badResult = parseJSON(badJson);
if (_.isError(goodResult)) {
console.log('goodResult: handle error');
} else {
console.log('goodResult: continue processing');
}
// > goodResult: continue processing
if (_.isError(badResult)) {
console.log('badResult: handle error');
} else {
console.log('badResult: continue processing');
}
// > badResult: handle error.bind而不是仅使用_.attempt(JSON.parse,str)的原因
如果要在JSON中添加一些注释并允许尾随逗号,则可能需要在实现下方使用:
var fs = require('fs');
var data = parseJsData('./message.json');
console.log('[INFO] data:', data);
function parseJsData(filename) {
var json = fs.readFileSync(filename, 'utf8')
.replace(/\s*\/\/.+/g, '')
.replace(/,(\s*\})/g, '}')
;
return JSON.parse(json);
}请注意,如果您"abc": "foo // bar"的JSON中有类似内容,则可能无法正常工作。YMMV。
如果JSON源文件很大,则可能要考虑使用Node.js 8.0通过本机异步/等待方法进行异步路由,如下所示
const fs = require('fs')
const fsReadFile = (fileName) => {
fileName = `${__dirname}/${fileName}`
return new Promise((resolve, reject) => {
fs.readFile(fileName, 'utf8', (error, data) => {
if (!error && data) {
resolve(data)
} else {
reject(error);
}
});
})
}
async function parseJSON(fileName) {
try {
return JSON.parse(await fsReadFile(fileName));
} catch (err) {
return { Error: `Something has gone wrong: ${err}` };
}
}
parseJSON('veryBigFile.json')
.then(res => console.log(res))
.catch(err => console.log(err))我使用fs-extra。我非常喜欢它,因为-尽管它支持回调-它也支持Promises。因此,它使我能够以更具可读性的方式编写代码:
const fs = require('fs-extra');
fs.readJson("path/to/foo.json").then(obj => {
//Do dome stuff with obj
})
.catch(err => {
console.error(err);
});它也有不随着标准来许多有用的方法fs模块和,最重要的是,它也填补了从本地方法fs模块和promisifies他们。
注意:您仍然可以使用本机Node.js方法。它们被承诺并复制到fs-extra。请参阅
fs.read()&fs.write()
因此,这基本上是所有优点。我希望其他人觉得这有用。
如果您需要以安全的方式使用Node.js解析JSON(又名:用户可以输入数据或公共API),则建议使用secure-json-parse。
用法类似于默认用法,JSON.parse但是它将保护您的代码免受以下影响:
const badJson = '{ "a": 5, "b": 6, "__proto__": { "x": 7 }, "constructor": {"prototype": {"bar": "baz"} } }'
const infected = JSON.parse(badJson)
console.log(infected.x) // print undefined
const x = Object.assign({}, infected)
console.log(x.x) // print 7
const sjson = require('secure-json-parse')
console.log(sjson.parse(badJson)) // it will throw by default, you can ignore malicious data also您可以使用JSON.parse()(这是一个内置函数,可能会迫使您用try-catch语句包装它)。
或使用JSON解析npm库,例如json-parse-or
为了安全起见,请使用它
var data = JSON.parse(Buffer.concat(arr).toString());使用JSON.parse(str);。在此处了解更多信息。
这里有些例子:
var jsonStr = '{"result":true, "count":42}';
obj = JSON.parse(jsonStr);
console.log(obj.count); // expected output: 42
console.log(obj.result); // expected output: true很简单,您可以使用将JSON转换为字符串JSON.stringify(json_obj),并使用将字符串转换为JSON JSON.parse("your json string")。