来历

JSON（JavaScript Object Notation，JAVAScript对象表示法）是一种由道格拉斯·克罗克福特构想和设计、轻量级的数据交换语言，该语言以易于让人阅读的文字为基础，用来传输由属性值或者序列性的值组成的数据对象。尽管JSON是JavaScript的一个子集，但JSON是独立于语言的文本格式，并且采用了类似于C语言家族的一些习惯。

JSON 数据格式与语言无关，脱胎自JavaScript，但当前很多编程语言都支持 JSON 格式数据的生成和解析。JSON 的官方 MIME 类型是 Application/json，文件扩展名是 .json。

JSON

扩展名 .json

互联网媒体类型 application/json

类型代码 TEXT

统一类型标识 public.json

格式类型 数据交换

延伸自 JavaScript

标准 RFC 7159, ECMA-404

网站 json.org

简介

JSON格式是1999年《JavaScript Programming Language, Standard ECMA-262 3rd Edition》的子集合，所以可以在JavaScript以eval()函数（javascript通过eval()调用解析器）读入。不过这并不代表JSON无法使用于其他语言，事实上几乎所有与网页开发相关的语言都有JSON函数库。

JSON的基本数据类型：

• 数值：十进制数，不能有前导0，可以为负数，可以有小数部分。还可以用e或者E表示指数部分。不能包含非数，如NaN。不区分整数与浮点数。JavaScript用双精度浮点数表示所有数值。
• 字符串：以双引号""括起来的零个或多个Unicode码位。支持反斜杠开始的转义字符序列。
• 布尔值：表示为true或者false。
• 值的有序列表（array）：有序的零个或者多个值。每个值可以为任意类型。序列表使用方括号[，]括起来。元素之间用逗号,分割。形如：[value, value]
• 对象（object）：一个无序的“键-值对”(pair)，其中键是字符串。建议但不强制要求对象中的键是独一无二的。对象以花括号{开始，并以}结束。键-值对之间使用逗号分隔。键与值之间用冒号:分割。
• null类型：值写为null

token（6种标点符号、字符串、数值、3种字面量）之间可以存在有限的空白符并被忽略。四个特定字符被认为是空白符：空格符、水平制表符、回车符、换行符。空白符不能出现在token内部（但空格符可以出现在字符串内部）。JSON标准不允许有字节序掩码，不提供注释的句法。 一个有效的JSON文档的根节点必须是一个对象或一个数组。

JSON交换时必须编码为UTF-8。^[1]转义序列可以为：“\”、“"”、“/”、“b”、“f”、“n”、“r”、“t”，或Unicode16进制转义字符序列（\u后面跟随4位16进制数字）。对于不在基本多文种平面上的码位，必须用UTF-16代理对（surrogate pair）表示，例如对于Emoji字符U+1F602 face with tears of joy在JSON中应表示为：

{ "face": "" }
// or
{ "face": "\uD83D\uDE02" }

应用领域

WEB开发

JSON最开始被广泛的应用于WEB应用的开发。不过当前JSON使用在JavaScript、Java、Node.js应用的情况比较多，php、C#等开发的WEB应用主要还是使用XML。

NoSQL数据库

相对于传统的关系型数据库，一些基于文档存储的NoSQL非关系型数据库选择JSON作为其数据存储格式，比较出名的产品有：MongoDB、CouchDB、RavenDB等。

安全问题

读取JSON

由于JSON是JavaScript的子集，所以一般都会使用eval()作为读取数据的方式，如果是针对可靠的数据来源，在不支持原生JSON解析的浏览器上面这是最快速的方法。然而由于eval方法同样可以执行任意的JavaScript代码，因此当数据来源不可靠时则可能产生安全问题。如下面的例子，直接用eval执行时会跳转：

var json= eval("{message:(function (){ window.location='http://zh.wikipedia.org/wiki/JSON#.E5.AE.89.E5.85.A8.E6.80.A7.E5.95.8F.E9.A1.8C'; })()}");

其中一种防止不安全代码出现的解决办法，是通过浏览器原生支持的JSON.parse（str）方法读取JSON数据，当前已经得到大部分主流浏览器的支持（IE8+，Firefox 3.5+，Chrome4+/Safari4+，Opera10+），在不支持原生JSON对象的浏览器上面可以使用parseJSON方法进行读取^[2]，parseJSON采用解析器验证读入的代码是否真的是JSON代码，这样就更安全。但由于这是用模拟的方式读取，速度上会比eval()慢。

跨站访问问题

另外一个安全上的问题则是跨站请求伪造（Cross-site request forgery，简称CSRF或XSRF）。这个问题在Javascript中的状况是，由于Javascript采用了称为“沙盒”的机制，这种机制限制Javascript引擎仅能引入同一个站点的代码，因而某种程度上提高了安全性。