这是validate JSON的最佳做法吗?
同时使用JSON schema proposal和JavaScript implementation of a JSON Schema validator,这种做法似乎相对无摩擦。那么,它应该是任何强大的应用程序的一部分吗?或者您是否采用其他首选策略来处理错误的JSON?
答案 0 :(得分:7)
在服务器上,必须验证来自外部的数据。
在浏览器中,如果您可以保证JSON是由您控制的服务器代码生成的,并且其所依赖的任何数据已在服务器上验证,则它在安全POV中是多余的。即便如此,它仍然可以用于调试。
答案 1 :(得分:4)
我的2c就是:
(a)是的,显然应该验证传入的数据,但
(b)执行此操作的最佳位置不是使用Json数据,而是使用实际的业务逻辑对象,如果使用了数据绑定。只有处理“原始”JSON时,JSON验证才有意义,但大多数服务(至少在Java中)首先使用数据绑定,然后对业务逻辑对象进行操作,而不是数据格式(通常几乎是实现细节)