JSON: pourquoi sont des barres obliques échappé?

La raison de ce "s'échappe" de moi.

JSON échappe à l'oblique, de sorte qu'un hachage {a: "a/b/c"} est sérialisé comme {"a":"a\/b\/c"} au lieu de {"a":"a/b/c"}.

Pourquoi?

  • FWIW, je n'ai jamais vu des barres obliques échappé en JSON, je l'ai juste remarqué avec la bibliothèque Java code.google.com/p/json-simple
  • PHP json_encode() s'échappe des barres obliques par défaut, mais a la JSON_UNESCAPED_SLASHES option à partir de PHP 5.4.0 (Mars 2012)
  • double possible de Pourquoi est la barre oblique un escapable caractère en JSON?
  • Voici un code PHP qui n'échappera pas à tous les slash, seulement dans '</': echo str_replace('</', '<\/', json_encode($obj, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES));
  • Le code prévoit l' '</': ou sera-t-elle à l'écho? En raison de départ à l'écho d'échec pour moi. J'ai simplement ne pas obtenir quoi que ce soit. Oui, j'ai remplacé ma $obj pour ma variable 🙂
  • JSON n'échappe pas à sérialiser ou quoi que ce soit... votre sérialiseur JSON n'. Lequel utilisez-vous?

InformationsquelleAutor Jason S | 2009-10-16
  1. 260

    JSON ne vous obligent pas à le faire, il vous permet de le faire. Il vous permet également d'utiliser "\u0061" pour "Un", mais il n'est pas nécessaire. Permettant \/ aide lors de l'intégration de JSON dans un <script> tag, qui ne permet pas </ à l'intérieur de chaînes, comme Seb souligne.

    Certains de Microsoft ASP.NET Ajax/JSON API utiliser cette faille pour ajouter des informations supplémentaires, par exemple, un datetime sera envoyé comme "\/Date(milliseconds)\/". (Beurk)

    • Merci pour la réponse. Jamais pensé à ce cas de bord. Ils doivent échapper à des instances de < de/ <\/, mais pas pour échapper à toutes les autres barres obliques. :/
    • Ce serait une bonne chose, échapper à la juste </. Si JSON n'est pas souvent incorporés dans des balises de script, de toute façon.
    • ouais, les arceaux de personnes sont passées par du HTML... c'est maintenant le 2ème récente surprise pour moi re: JSON. L'autre était que l'Infini et NaN ne sont pas numérotés. stackoverflow.com/questions/1423081
    • JSON conversion est utile pour générer des scripts inline, par exemple. var f = <= xxx.to_json %>;. Il ne doit certainement pas échapper à la tous barres obliques, cela rend chaque JSON URL encodée de plus, au lieu de juste les rares cas de bord.
    • Voir ce billet de blog pour la justification de la ASP.NET JSON format de la date: weblogs.asp.net/bleroy/archive/2008/01/18/dates-and-json.aspx
    • pourquoi ne pas tout simplement échapper à l' ( </ ) paire de caractères au lieu de toutes les barres obliques ( / ) que ?
    • Probablement parce qu'il est légèrement plus efficace / plus facile à mettre en œuvre lorsque vous n'avez pas à vous rappeler quels sont les personnages que vous avez vu avant de décider de la date de sortie d'une séquence d'échappement. De cette façon, c'est une simple par substitution de caractère.
    • ...les seuls caractères qui doivent être échappés dans un mécanisme d'encodage sont les caractères spéciaux utilisés dans le mécanisme de codage de la structure elle-même( JSON qui serait ", {,},[,], etc.)...tous les autres caractères sont de la charge utile et doit être traitée comme telle....si vous cassez html parce que vous envoyer les mauvais caractères il n'est pas structuré de données du mécanisme de codage de la responsabilité de résoudre ce problème....JSON doit être remplacé....il devrait être agnostique de langage côté client, côté serveur de la langue, et de l'application, c'est une charge utile mécanisme de livraison.
    • JSON doit être remplacé en raison d'une mise en oeuvre particulière d'un sérialiseur JSON sorties de certains JSON que (tout en étant entièrement JSON valide) a des caractères supplémentaires de sorte qu'il peut également être déposés dans un script HTML de l'élément de JS littérale?! Ce n'est pas pour autant jeter le bébé avec l'eau du bain que de jeter le bébé parce que quelqu'un lui a acheté un ensemble de ailes de l'eau.
    • Je pense qu'au lieu de “Beurk”, le hack de l'aide de la séquence d'échappement barre oblique pour marquer une chaîne comme étant plus qu'une chaîne de caractères est soignée et beaucoup mieux que les autres alternatives, telles que l'itération à travers un désérialisé objet JSON et la conversion de tout ce qui correspond à une RegExp pour la norme ISO 8601 pour un Date objet ou qui ont besoin d'une clé séparée pour indiquer si la valeur sérialisée est un pur chaîne de caractères ou un Date.
    • Ce que je ne comprends pas est pourquoi un sérialiseur JSON serait même de soins où le JSON se termine. Sur une page web, dans une requête HTTP, que ce soit. Laissez le rendu final n'supplémentaire de codage, si elle en a besoin.
    • Et il peut. Échapper / n'est pas obligatoire, c'est permis, afin de faciliter l'utilisation de JSON. Si vous ne voulez pas d'échapper à /, alors ne le faites pas.
    • "lors de l'incorporation de JSON dans un <script> tag, ce qui ne permet pas de </ à l'intérieur de chaînes de caractères" est incorrect. </ est tout simplement parfait dans un script tag. C'est seulement </script> (peut-être avec des espaces de là) que de les arrêter.
    • Le HTML 3.2 et 4.01 spécifications interdisent explicitement </ à l'intérieur de <script> (et <style>). Car, comment un navigateur traiter <div><script>["</div>"]</script>? Vous pourrait (devrait?) interpréter cela comme <div><script>["</script></div><script>"]</script>. Comme c'est comment il devrait être analysée si vous souhaitez changer <script> pour <b>. C'est seulement l'HTML 5 spec a changé de </script. Dans le bon vieux temps, nous avons même utilisé <script><!-- ... //--></script> (et la magie d'autres incantations) pour être absolument sûr que le contenu d'une balise de script n'a pas été mal interprété.
    • Et JSON (2000) est antérieure à la spec HTML5 (2014). Mais ces jours-ci, vous avez raison. Et c'est juste beaucoup plus rapide à juste d'échapper à toutes les occurrences de </, sans avoir à regarder vers l'avenir pour script, pourquoi s'embêter.
    • HTML 3.2 est de l'histoire ancienne, mais où voyez-vous que, même dans le HTML4 spec? Dans tous les cas, la spec HTML5 codifiée quels sont les navigateurs qui a réellement été fait depuis des années. Séparément: à Quoi vous fait penser le remplacement de / est plus rapide que de le remplacer, disons, </? Il aurait au moins de minimiser la taille. Mais en tout cas, c'est du traitement de la question au mauvais niveau (JSON plutôt que de l'endroit où vous êtes en utilisant JSON dans un script balise si s'il vous arrive, vous êtes).
    • La Section B. 3.2 "en Spécifiant la non-données HTML" traite spécifiquement de cette question. Deuxièmement, la manipulation </ est légèrement plus lent que la recherche de / parce que vous avez besoin de suivre ce que le caractère précédent a été. Aveuglément remplacement / est juste plus simple, et c'est ce qui arrive pour tous les caractères réservés trop. En outre, la spécification JSON permet toujours de pas escape /. Donc, si vous n'aimez pas la météorisation: utilisation/écriture d'un JSON formateur qui n'échappe pas à /. Personne ne vous force à le faire de toute façon, comme c'est une option de codage de la fonction.
    • Merci de trouver que pour moi, j'aime toujours ce genre de arcanes info. 🙂 Je soupçonne que vous trouverez si vous avez réellement le tester que PHP va remplacer </ aussi vite que /. Mais il n'est pas particulièrement important, c'est encore de la manipulation au mauvais niveau.
    • aujourd'hui, nous utilisons le même plus compliqué <script type="text/javascript"><!--//--><![CDATA[//><!-- ... //--><!]]></script> la forme, qui, à l'aide d'une CDATA, s'en échappe (hah!) ce problème ainsi. (Pour les curieux: <style type="text/css"><!--/*--><![CDATA[/*><!--*/ ... /*]]>*/--></style> est l'appariement “bon” escape pour le CSS, et les deux sont aussi XHTML/1.1 laver).

    InformationsquelleAutor Ruben
  2. 30

    La spécification JSON dit, vous POUVEZ échapper à slash, mais vous n'avez pas à.

    • Pouvez-vous ajouter un lien vers cette section spécifique?
    • La spécification de ne pas dire qu'. En fait tout ce qu'elle dit, c'est que vous avez pour échapper à la barre de caractères. Voir ecma-international.org/publications/files/ECMA-ST/ECMA-404.pdf
    • Une barre oblique inverse doit être échappé, mais vous n'avez pas besoin de s'échapper d'une barre oblique. L'article 9 dit: "Tous les caractères peuvent être placés dans les guillemets, sauf pour les caractères qui doivent être échappé: les guillemets (U+0022), barre oblique inverse (U+005 C), et les caractères de contrôle de U+0000 à U+001F."
    • Merci Harold! Vous avez raison, également illustrée à la Figure 5, que "les points de code à l'exception ..." indique clairement que / est facultatif.
    InformationsquelleAutor Harold L
  3. 14

    J'ai demandé à la même question il y a quelques temps et avait à répondre moi-même. Voici ce que j'ai trouvé:

    Il semble, ma première pensée [qu'il vient de son JavaScript
    les racines    ] était correcte.

    '\/' === '/' en JavaScript et JSON est JavaScript valide. Cependant,
    pourquoi les autres ignoré échappe (comme \z) n'est autorisé en JSON?

    La clé de cette lecture a été
    http://www.cs.tut.fi/~jkorpela/www/revsol.html, suivie par
    http://www.w3.org/TR/html4/appendix/notes.html#h-B.3.2. La fonction de
    la barre oblique échapper permet JSON pour être intégré dans le HTML (comme SGML) et XML.

    • Structuré de données de charge utile mécanisme de livraison ne doit pas être liée à des constructions d'un langage..que cela pourrait changer dans le futur...mais ce qui pourrait expliquer les décisions de conception s'il y en avait au format JSON créateurs.
    • '\/' === '/' Je n'ai pas besoin de ne pas encoder des barres obliques lors de la réception de mon jsonp?
    InformationsquelleAutor Boldewyn
  4. 7

    Laid PHP!

    La JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES doivent être par défaut, pas une (étrange) option... Comment dire à php-développeurs?

    La par défaut DOIT être la plus fréquente de l'utilisation, et l' (actuel) le plus largement utilisé les normes de l'utf-8. Combien de PHP-fragments de code dans le Github ou autre lieu besoin de cette exoctic "intégré dans le HTML" fonctionnalité?

    • La droite dit que! Toutefois PHP favorise tous c'est bizarre erreurs dans l'avenir, pour ne pas tout casser sur la commune de la précédente bugs dans tous ces corrompus historique extraits de code PHP qui se répandent partout dans le monde comme un parasite. Donc, toutes ces mauvaises décisions prises par PHP, ce qui signifie que presque toutes les décisions sur PHP jamais, devenir la norme. Ne vous attendez pas à des normes de changement, d'où chaque développeur PHP doit connaître et mettre en œuvre tous les nombre infini de solutions de contournement à l'encontre de tous ceux de sérieux bugs trouvés dans PHP. Entrez stackoverflow ..
    InformationsquelleAutor Peter Krauss
  5. 4

    PHP s'échappe des barres obliques par défaut qui est probablement pourquoi cela semble si souvent. Je ne sais pas pourquoi, mais peut-être parce que l'intégration de la chaîne de "</script>" à l'intérieur d'un <script> tag est considéré comme dangereux.

    Cette fonctionnalité peut être désactivée en passant dans le JSON_UNESCAPED_SLASHES drapeau, mais la plupart des développeurs de ne pas utiliser ce depuis le premier résultat est déjà JSON valide.

    InformationsquelleAutor Simon East