我应该如何使用Node.js解析JSON ?是否有一些模块可以安全地验证和解析JSON ?
当前回答
使用JSON.parse (str);。点击这里阅读更多信息。
下面是一些例子:
var jsonStr = '{"result":true, "count":42}';
obj = JSON.parse(jsonStr);
console.log(obj.count); // expected output: 42
console.log(obj.result); // expected output: true
其他回答
我的解决方案:
var fs = require('fs');
var file = __dirname + '/config.json';
fs.readFile(file, 'utf8', function (err, data) {
if (err) {
console.log('Error: ' + err);
return;
}
data = JSON.parse(data);
console.dir(data);
});
我用的是fs-extra。我非常喜欢它,因为——尽管它支持回调——它也支持承诺。所以它只是让我以一种更可读的方式编写代码:
const fs = require('fs-extra');
fs.readJson("path/to/foo.json").then(obj => {
//Do dome stuff with obj
})
.catch(err => {
console.error(err);
});
它还提供了许多标准fs模块中没有的有用方法,除此之外,它还连接了来自本地fs模块的方法并对它们进行了承诺。
注意:你仍然可以使用原生Node.js方法。它们被承诺并复制到fs-extra。参见fs.read() & fs.write()的注释
所以基本上都是优势。我希望这对其他人有用。
您可以要求.json文件。
var parsedJSON = require('./file-name');
例如,如果你有一个配置。Json文件在相同的目录作为你的源代码文件,你会使用:
var config = require('./config.json');
或(文件扩展名可以省略):
var config = require('./config');
注意require是同步的,只读取文件一次,后续调用从缓存返回结果
还要注意,您应该只对完全控制下的本地文件使用此选项,因为它可能会执行文件中的任何代码。
如果你需要用Node.js以一种安全的方式解析JSON(也就是说:用户可以输入数据,或者一个公共API),我建议使用secure- JSON -parse。
其用法类似于默认的JSON。解析,但它会保护你的代码:
原型中毒 和构造函数滥用:
const badJson = '{ "a": 5, "b": 6, "__proto__": { "x": 7 }, "constructor": {"prototype": {"bar": "baz"} } }'
const infected = JSON.parse(badJson)
console.log(infected.x) // print undefined
const x = Object.assign({}, infected)
console.log(x.x) // print 7
const sjson = require('secure-json-parse')
console.log(sjson.parse(badJson)) // it will throw by default, you can ignore malicious data also
使用JSON配置Node.js?阅读这篇文章,让你的配置技能超过9000…
Note: People claiming that data = require('./data.json'); is a security risk and downvoting people's answers with zealous zeal: You're exactly and completely wrong. Try placing non-JSON in that file... Node will give you an error, exactly like it would if you did the same thing with the much slower and harder to code manual file read and then subsequent JSON.parse(). Please stop spreading misinformation; you're hurting the world, not helping. Node was designed to allow this; it is not a security risk!
正确的应用程序有3层以上的配置:
服务器/容器配置 应用程序配置 (可选)租户/社区/组织配置 用户配置
大多数开发者都认为他们的服务器和应用配置是可以改变的。它不能。您可以在更高的层上逐层进行更改,但是您正在修改基本需求。有些东西需要存在!让你的配置像不可变一样,因为它的一些基本是不可变的,就像你的源代码一样。
如果没有看到你的很多东西在启动后不会改变,就会导致反模式,比如在配置加载中到处都是try/catch块,并且假装你可以在没有正确设置应用程序的情况下继续运行。你不能。如果可以,那就属于社区/用户配置层,而不是服务器/应用配置层。你只是做错了。当应用程序完成引导时,可选的东西应该分层在顶部。
不要用头撞墙:你的配置应该非常简单。
看看用一个简单的json配置文件和一个简单的app.js文件来设置一个像协议无关和数据源无关的服务框架这样复杂的东西是多么容易……
container-config.js……
{
"service": {
"type" : "http",
"name" : "login",
"port" : 8085
},
"data": {
"type" : "mysql",
"host" : "localhost",
"user" : "notRoot",
"pass" : "oober1337",
"name" : "connect"
}
}
index.js……(驱动一切的引擎)
var config = require('./container-config.json'); // Get our service configuration.
var data = require(config.data.type); // Load our data source plugin ('npm install mysql' for mysql).
var service = require(config.service.type); // Load our service plugin ('http' is built-in to node).
var processor = require('./app.js'); // Load our processor (the code you write).
var connection = data.createConnection({ host: config.data.host, user: config.data.user, password: config.data.pass, database: config.data.name });
var server = service.createServer(processor);
connection.connect();
server.listen(config.service.port, function() { console.log("%s service listening on port %s", config.service.type, config.service.port); });
app.js……(支持协议不可知和数据源不可知服务的代码)
module.exports = function(request, response){
response.end('Responding to: ' + request.url);
}
使用这种模式,你现在可以在你启动的应用程序上加载社区和用户配置的东西,开发运维已经准备好将你的工作推到一个容器中并扩展它。你是为多租户的。用户域是隔离的。现在,您可以分离使用的服务协议和数据库类型,只关注编写好的代码。
因为你在使用层,你可以在任何时候依赖于一个单一的真实来源(分层配置对象),并避免在每一步进行错误检查,担心“哦,糟糕,没有正确的配置,我怎么能让这个工作?!?”
