JSON (англ. JavaScript Object Notation, [dʒeɪsən]) — текстовый формат обмена данными, инициированный в JavaScript.
JSON легко читается людьми.
Несмотря на происхождение от JavaScript, формат считается независимым от javascript и может использоваться практически с любым языком программирования. Для многих языков существует готовый код для создания и обработки данных в формате JSON.
Использование
За счёт лаконичности (по сравнению с XML) формат JSON может быть более подходящим для сериализации сложных структур.
JSON применяется в задачах обмена данными между браузером и сервером (AJAX) и между самими серверами.
JSON является подмножеством синтаксиса языка JavaScript и может быть десериализован встроенной функцией eval().
Возможна вставка вполне работоспособных JavaScript-функций.
В языке PHP (с версии 5.2.0) поддержка JSON включена в ядро в виде функций json_decode() и json_encode(), которые сами преобразуют типы данных JSON в соответствующие типы PHP и наоборот.
Синтаксис
JSON-текст представляет собой (в закодированном виде) одну из двух структур:
Набор пар ключ: значение.
В различных языках это реализовано как объект, запись, структура, словарь, хэш-таблица, список с ключом или ассоциативный массив.
Ключом может быть только регистрозависимая строка, значением — любая форма.
В качестве значений в JSON могут быть использованы:
- Объект — это неупорядоченное множество пар ключ:значение, заключённое в фигурные скобки «{ }». Ключ описывается строкой, между ним и значением стоит символ «:». Пары ключ-значение отделяются друг от друга запятыми.
- Массив (одномерный) — это упорядоченное множество значений. Массив заключается в квадратные скобки «[ ]». Значения разделяются запятыми.
- Число.
- Литералы true, false и null.
- Строка — это упорядоченное множество из нуля или более символов юникода, заключенное в двойные кавычки. Символы могут быть указаны с использованием escape-последовательностей, начинающихся с обратной косой черты «\» (поддерживаются варианты \", \\, \/, \t, \n, \r, \f и \b), или записаны шестнадцатеричным кодом в кодировке UTF-8 в виде \uFFFF. Строка очень похожа на одноимённый тип данных в языках С и Java. Число тоже очень похоже на С- или Java-число, за исключением того, что используется только десятичный формат. Пробелы могут быть вставлены между любыми двумя синтаксическими элементами.
Пример JSON-представления объекта, описывающего человека.
В объекте есть строковые поля имени и фамилии, объект, описывающий адрес, и массив, содержащий список телефонов. Как видно из примера, значение может представлять собой вложенную структуру.
{
"firstName": "Иван",
"lastName": "Иванов",
"address": {
"streetAddress": "Московское ш., 101, кв.101",
"city": "Ленинград",
"postalCode": 101101
},
"phoneNumbers": [
"812 123-1234",
"916 123-4567"
]
}
На языке XML подобная структура выглядела бы примерно так:
<person firstName="Иван" lastName="Иванов">
<address streetAddress="Московское ш., 101, кв.101" city="Ленинград" postalCode="101101" />
<phoneNumbers>
<phoneNumber>812 123-1234</phoneNumber>
<phoneNumber>916 123-4567</phoneNumber>
</phoneNumbers>
</person>
JSON5
JSON5 — предложенное расширение формата json в соответствии с синтаксисом ECMAScript 5, вызванное тем, что json используется не только для общения между программами, но создается и редактируется вручную.
JSON5 является корректным кодом ECMAScript 5. Для некоторых языков программирования уже существуют парсеры json5.
Нововведения:
- Поддерживаются как однострочные //, так и многострочные /* */ комментарии.
- Объекты и списки могут иметь запятую после последнего элемента (удобно при копипейсте элементов).
- Ключи объекта могут быть без кавычек, если они являются валидными идентификаторами ECMAScript 5.
- Строки могут заключаться как в одинарные, так и в двойные кавычки.
- Числа могут быть в шестнадцатеричном виде, начинаться или заканчиваться десятичной точкой, включать Infinity, -Infinity, NaN и -NaN, начинаться со знака +.
JSON Schema
JSON Schema — один из языков описания структуры JSON-документа. Использует синтаксис JSON. Базируется на концепциях XML Schema, RelaxNG, Kwalify.
JSON Schema — самоописательный язык: при его использовании для обработки данных и описания их допустимости могут использоваться одни и те же инструменты сериализации и десериализации.
Использование JSON в Ajax
Следующий пример Javascript-кода показывает, как браузер может использовать XMLHttpRequest, чтобы запрашивать с сервера объект в формате JSON (серверная часть программы опущена; в ней должен быть размещён код, отправляющий данные в формате JSON-строки в ответ на запросы по url).
var http_request = new XMLHttpRequest();
http_request.onreadystatechange = function ()
{
if(http_request.readyState !== 4) return;
if(http_request.status !== 200 ) throw new Error('request was defeated')
do_something_with_object(JSON.parse(http_request.responseText));
http_request = null;
};
http_request.open( "GET", url, true );
http_request.send(null);
Данный пример применения XMLHttpRequest не поддерживает Internet Explorer до версии 6 включительно, так что для них следует использовать несколько иной код.
Возможности применения XMLHttpRequest ограничены из-за правила ограничения домена (same origin policy): URL ответ на запрос должен находиться в том же DNS домене, что и сервер, на котором находится страница, запрашивающая ответ.
В качестве альтернативы применяется подход JSONP, включающий в себя использование закодированного вызова функции, передающегося между клиентом и сервером, чтобы клиент мог загружать закодированные в JSON данные со сторонних доменов, и уведомлять о завершении вызывающую сторону, хотя это приводит к некоторым рискам для безопасности и дополнительным требованиям к серверу.
Как вариант, в коде страницы можно использовать элементы <iframe> для асинхронного запроса JSON данных, или просто <form action="url_to_cgi_script"> . Эти подходы были распространены до появления широкой поддержки XMLHttpRequest.
Также можно использовать для передачи JSON-данных динамические теги <script>.
С помощью этого метода можно обойти правило ограничения домена (same origin policy), но он приводит к появлению уязвимого кода. В качестве более безопасной альтернативы было предложено использовать JSONRequest.
Вопросы безопасности
Хотя JSON предназначен для передачи данных в сериализованном виде, его синтаксис соответствует синтаксису JavaScript и это создает ряд проблем безопасности. Зачастую для обработки данных, полученных от внешнего источника в формате JSON, к ним применяется функция eval() без какой-либо предварительной проверки.
Поскольку JSON представляется синтаксически правильным фрагментом кода JavaScript, простейшим способом разбора JSON-данных в JavaScript-программе является использование встроенной в JavaScript функции eval(), которая предназначена для выполнения JavaScript-выражений. При этом подходе отпадает необходимость в использовании дополнительных парсеров.
Техника использования eval() делает систему уязвимой, если источник используемых JSON-данных не является доверенным.
В качестве таких данных может выступать вредоносный JavaScript код для атак класса "Внедрение кода".
С помощью данной уязвимости возможно осуществлять кражу данных, подделку аутентификации.
Тем не менее, уязвимость можно устранить за счёт использования дополнительных средств проверки данных на корректность.
До выполнения eval() полученные от внешнего источника данные могут проверяться с помощью регулярных выражений.
Предлагается использовать следующий код для проверки его соответствия формату JSON:
var my_JSON_object = !(/[^,:{}\[\]0-9.\-+Eaeflnr-u \n\r\t]/.test( text.replace(/"(\\.|[^"\\])*"/g, ''))) && eval('(' + text + ')');
Как более безопасная альтернатива eval() была предложена новая функция JSON.parse(), способная обрабатывать только JSON-данные. Она была представлена в четвёртой версии стандарта ECMAScript. В настоящее время она доступна как библиотека JavaScript и была включена в пятую редакцию ECMAScript.
Встроенный JSON
Последние версии веб-браузеров имеют встроенную поддержку JSON и способны его обрабатывать без вызова функции eval(), приводящей к описанной проблеме. Обработка JSON в таком случае обычно осуществляется быстрее.
Cледующие браузеры имеют встроенную поддержку JSON:
- Mozilla Firefox 3.5+
- Microsoft Internet Explorer 8
- Opera 10.5+
- Браузеры, основанные на WebKit (например, Google Chrome, Apple Safari, Yandex.Browser)
Пять популярных библиотек JavaScript используют встроенный JSON:
jQuery
Dojo
MooTools
Yahoo! UI Library
Prototype
Подделка кроссдоменного запроса
Непродуманное использование JSON делает сайты уязвимыми к подделке межсайтовых запросов (CSRF или XSRF).
Поскольку тег <script> допускает использование источника, не принадлежащего к тому же домену, что и использующий ресурс, это позволяет выполнять код под видом данных, представленных в формате JSON, в контексте произвольной страницы, что делает возможным компрометацию паролей или другой конфиденциальной информации пользователей, прошедших авторизацию на другом сайте. Это представляется проблемой только в случае содержания в JSON-данных конфиденциальной информации, которая может быть компрометирована третьей стороной и если сервер рассчитывает на политику одного источника, блокируя доступ к данным при обнаружении внешнего запроса. Это не является проблемой, если сервер определяет допустимость запроса, предоставляя данные только в случае его корректности. HTTP cookie нельзя использовать для определения этого. Исключительное использование HTTP cookie используется подделкой межсайтовых запросов.
JSONP и JSONPP
JSONP (JSON Padding — «JSON с подкладкой») является расширением JSON, когда имя функции обратного вызова указывается в качестве входного аргумента.
В основу технологии положен тот факт, что политика безопасности браузера не запрещает использовать тег
<script type="text/javascript" src="…"></script>
для обращения к серверам, отличным от сервера, с которого произошла загрузка страницы.
Без использования технологии JSONP (то есть используя просто JSON кодирование данных) сервер может вернуть только данные.
Например, так:
{"paper": "A4", "count": 5}
Однако это только данные, и они не могут влиять на браузер.
Используя технику JSONP, стороннему серверу передается в строке вызова (GET) имя callback функции:
<script type="text/javascript" src="http://example.com/getjson?jsonp=parseResponse"></script>
Здесь параметр jsonp содержит имя callback функции parseResponse.
Теперь посторонний сервер example.com может вернуть следующий код:
parseResponse({"paper": "A4", "count": 5})
Теперь код вызывает javascript-функцию первого домена.
Поскольку JSONP использует скрипт теги, вызовы по сути открыты миру. По этой причине JSONP может быть неуместными для хранения конфиденциальных данных.
Включение скриптовых тегов от удаленных сайтов позволяет им передать любой контент на сайте. Если удаленный сайт имеет уязвимости, которые позволяют выполнить Javascript инъекции, то исходный сайт также может быть затронут ими.
JSONPP (parameterized JSON with padding — «параметризованный JSON с подкладкой») — развитие идеи JSONP.
JSONPP включает в себя URL источника, имя функции, которая будет обрабатывать JSON данные, строка для eval после получения данных и строка для eval после окончания обработки данных:
JSON_call(SRC,JSONP,JSONPP,ONLOAD);
в итоге оборачивается
ans = JSONP(SRC)
{
eval(JSONPP(ans));
eval(ONLOAD);
}
Для самой идеи JSONPP не принципиально количество параметров. Достаточно SRC, JSONP, JSONPP (и их обработка на стороне сервера, а затем клиента) для того, чтобы это был JSONPP.
Пример работы с сервисом S3DB:
function s3db_jsonpp_call(src, next_eval)
{
var call = "call_"+Math.random().toString().replace(/\./g,"");
var headID = document.getElementsByTagName("head")[0];
var script = document.createElement('script');
script.id = call;
script.type = 'text/javascript';
// using padded, parameterized json
src = src + "&format=json&jsonp=s3db_jsonpp&jsonpp=" +next_eval +"&onload=remove_element_by_id('" +script.id +"')";
script.src = src;
headID.appendChild(script); // retrieve answer
}
function s3db_jsonpp(ans, jsonpp){
eval(jsonpp);
return ans;
}
function remove_element_by_id(id){
var e = document.getElementById(id);
e.parentNode.removeChild(e);
return false;
}
Функция s3db_jsonpp_call() создаёт в DOM в части head элемент script, src которого соответствует вызову JSONPP.
После получения ответа от сервера будет вызвана s3db_jsonpp() — она передана в параметрах вызова, как это должно быть по правилам JSONP.
Внутри s3db_jsonpp() сработает eval(jsonpp), и произойдёт возврат значения ans.
Вызов eval(onload) приводит к выполнению remove_element_by_id() с id созданного скрипта в head и в итоге к его удалению, ведь он уже всё равно не будет использоваться, поскольку id в примере было сгенерировано случайным образом в самом начале функции s3db_jsonpp_call(). Этот вызов в ответе сервера.
Ссылки на объекты
Стандарт JSON не поддерживает ссылки на объекты, однако, Dojo Toolkit демонстрирует, как при помощи дополнительных соглашений можно обеспечить поддержку таких ссылок средствами стандартного JSON. Модуль dojox.json.ref предоставляет поддержку нескольких форм ссылок, включая круговые, множественные, междокументные и «ленивые» ссылки.
JSON легко читается людьми.
Несмотря на происхождение от JavaScript, формат считается независимым от javascript и может использоваться практически с любым языком программирования. Для многих языков существует готовый код для создания и обработки данных в формате JSON.
Использование
За счёт лаконичности (по сравнению с XML) формат JSON может быть более подходящим для сериализации сложных структур.
JSON применяется в задачах обмена данными между браузером и сервером (AJAX) и между самими серверами.
JSON является подмножеством синтаксиса языка JavaScript и может быть десериализован встроенной функцией eval().
Возможна вставка вполне работоспособных JavaScript-функций.
В языке PHP (с версии 5.2.0) поддержка JSON включена в ядро в виде функций json_decode() и json_encode(), которые сами преобразуют типы данных JSON в соответствующие типы PHP и наоборот.
Синтаксис
JSON-текст представляет собой (в закодированном виде) одну из двух структур:
Набор пар ключ: значение.
В различных языках это реализовано как объект, запись, структура, словарь, хэш-таблица, список с ключом или ассоциативный массив.
Ключом может быть только регистрозависимая строка, значением — любая форма.
В качестве значений в JSON могут быть использованы:
- Объект — это неупорядоченное множество пар ключ:значение, заключённое в фигурные скобки «{ }». Ключ описывается строкой, между ним и значением стоит символ «:». Пары ключ-значение отделяются друг от друга запятыми.
- Массив (одномерный) — это упорядоченное множество значений. Массив заключается в квадратные скобки «[ ]». Значения разделяются запятыми.
- Число.
- Литералы true, false и null.
- Строка — это упорядоченное множество из нуля или более символов юникода, заключенное в двойные кавычки. Символы могут быть указаны с использованием escape-последовательностей, начинающихся с обратной косой черты «\» (поддерживаются варианты \", \\, \/, \t, \n, \r, \f и \b), или записаны шестнадцатеричным кодом в кодировке UTF-8 в виде \uFFFF. Строка очень похожа на одноимённый тип данных в языках С и Java. Число тоже очень похоже на С- или Java-число, за исключением того, что используется только десятичный формат. Пробелы могут быть вставлены между любыми двумя синтаксическими элементами.
Пример JSON-представления объекта, описывающего человека.
В объекте есть строковые поля имени и фамилии, объект, описывающий адрес, и массив, содержащий список телефонов. Как видно из примера, значение может представлять собой вложенную структуру.
{
"firstName": "Иван",
"lastName": "Иванов",
"address": {
"streetAddress": "Московское ш., 101, кв.101",
"city": "Ленинград",
"postalCode": 101101
},
"phoneNumbers": [
"812 123-1234",
"916 123-4567"
]
}
На языке XML подобная структура выглядела бы примерно так:
<person firstName="Иван" lastName="Иванов">
<address streetAddress="Московское ш., 101, кв.101" city="Ленинград" postalCode="101101" />
<phoneNumbers>
<phoneNumber>812 123-1234</phoneNumber>
<phoneNumber>916 123-4567</phoneNumber>
</phoneNumbers>
</person>
JSON5
JSON5 — предложенное расширение формата json в соответствии с синтаксисом ECMAScript 5, вызванное тем, что json используется не только для общения между программами, но создается и редактируется вручную.
JSON5 является корректным кодом ECMAScript 5. Для некоторых языков программирования уже существуют парсеры json5.
Нововведения:
- Поддерживаются как однострочные //, так и многострочные /* */ комментарии.
- Объекты и списки могут иметь запятую после последнего элемента (удобно при копипейсте элементов).
- Ключи объекта могут быть без кавычек, если они являются валидными идентификаторами ECMAScript 5.
- Строки могут заключаться как в одинарные, так и в двойные кавычки.
- Числа могут быть в шестнадцатеричном виде, начинаться или заканчиваться десятичной точкой, включать Infinity, -Infinity, NaN и -NaN, начинаться со знака +.
JSON Schema
JSON Schema — один из языков описания структуры JSON-документа. Использует синтаксис JSON. Базируется на концепциях XML Schema, RelaxNG, Kwalify.
JSON Schema — самоописательный язык: при его использовании для обработки данных и описания их допустимости могут использоваться одни и те же инструменты сериализации и десериализации.
Использование JSON в Ajax
Следующий пример Javascript-кода показывает, как браузер может использовать XMLHttpRequest, чтобы запрашивать с сервера объект в формате JSON (серверная часть программы опущена; в ней должен быть размещён код, отправляющий данные в формате JSON-строки в ответ на запросы по url).
var http_request = new XMLHttpRequest();
http_request.onreadystatechange = function ()
{
if(http_request.readyState !== 4) return;
if(http_request.status !== 200 ) throw new Error('request was defeated')
do_something_with_object(JSON.parse(http_request.responseText));
http_request = null;
};
http_request.open( "GET", url, true );
http_request.send(null);
Данный пример применения XMLHttpRequest не поддерживает Internet Explorer до версии 6 включительно, так что для них следует использовать несколько иной код.
Возможности применения XMLHttpRequest ограничены из-за правила ограничения домена (same origin policy): URL ответ на запрос должен находиться в том же DNS домене, что и сервер, на котором находится страница, запрашивающая ответ.
В качестве альтернативы применяется подход JSONP, включающий в себя использование закодированного вызова функции, передающегося между клиентом и сервером, чтобы клиент мог загружать закодированные в JSON данные со сторонних доменов, и уведомлять о завершении вызывающую сторону, хотя это приводит к некоторым рискам для безопасности и дополнительным требованиям к серверу.
Как вариант, в коде страницы можно использовать элементы <iframe> для асинхронного запроса JSON данных, или просто <form action="url_to_cgi_script"> . Эти подходы были распространены до появления широкой поддержки XMLHttpRequest.
Также можно использовать для передачи JSON-данных динамические теги <script>.
С помощью этого метода можно обойти правило ограничения домена (same origin policy), но он приводит к появлению уязвимого кода. В качестве более безопасной альтернативы было предложено использовать JSONRequest.
Вопросы безопасности
Хотя JSON предназначен для передачи данных в сериализованном виде, его синтаксис соответствует синтаксису JavaScript и это создает ряд проблем безопасности. Зачастую для обработки данных, полученных от внешнего источника в формате JSON, к ним применяется функция eval() без какой-либо предварительной проверки.
Поскольку JSON представляется синтаксически правильным фрагментом кода JavaScript, простейшим способом разбора JSON-данных в JavaScript-программе является использование встроенной в JavaScript функции eval(), которая предназначена для выполнения JavaScript-выражений. При этом подходе отпадает необходимость в использовании дополнительных парсеров.
Техника использования eval() делает систему уязвимой, если источник используемых JSON-данных не является доверенным.
В качестве таких данных может выступать вредоносный JavaScript код для атак класса "Внедрение кода".
С помощью данной уязвимости возможно осуществлять кражу данных, подделку аутентификации.
Тем не менее, уязвимость можно устранить за счёт использования дополнительных средств проверки данных на корректность.
До выполнения eval() полученные от внешнего источника данные могут проверяться с помощью регулярных выражений.
Предлагается использовать следующий код для проверки его соответствия формату JSON:
var my_JSON_object = !(/[^,:{}\[\]0-9.\-+Eaeflnr-u \n\r\t]/.test( text.replace(/"(\\.|[^"\\])*"/g, ''))) && eval('(' + text + ')');
Как более безопасная альтернатива eval() была предложена новая функция JSON.parse(), способная обрабатывать только JSON-данные. Она была представлена в четвёртой версии стандарта ECMAScript. В настоящее время она доступна как библиотека JavaScript и была включена в пятую редакцию ECMAScript.
Встроенный JSON
Последние версии веб-браузеров имеют встроенную поддержку JSON и способны его обрабатывать без вызова функции eval(), приводящей к описанной проблеме. Обработка JSON в таком случае обычно осуществляется быстрее.
Cледующие браузеры имеют встроенную поддержку JSON:
- Mozilla Firefox 3.5+
- Microsoft Internet Explorer 8
- Opera 10.5+
- Браузеры, основанные на WebKit (например, Google Chrome, Apple Safari, Yandex.Browser)
Пять популярных библиотек JavaScript используют встроенный JSON:
jQuery
Dojo
MooTools
Yahoo! UI Library
Prototype
Подделка кроссдоменного запроса
Непродуманное использование JSON делает сайты уязвимыми к подделке межсайтовых запросов (CSRF или XSRF).
Поскольку тег <script> допускает использование источника, не принадлежащего к тому же домену, что и использующий ресурс, это позволяет выполнять код под видом данных, представленных в формате JSON, в контексте произвольной страницы, что делает возможным компрометацию паролей или другой конфиденциальной информации пользователей, прошедших авторизацию на другом сайте. Это представляется проблемой только в случае содержания в JSON-данных конфиденциальной информации, которая может быть компрометирована третьей стороной и если сервер рассчитывает на политику одного источника, блокируя доступ к данным при обнаружении внешнего запроса. Это не является проблемой, если сервер определяет допустимость запроса, предоставляя данные только в случае его корректности. HTTP cookie нельзя использовать для определения этого. Исключительное использование HTTP cookie используется подделкой межсайтовых запросов.
JSONP и JSONPP
JSONP (JSON Padding — «JSON с подкладкой») является расширением JSON, когда имя функции обратного вызова указывается в качестве входного аргумента.
В основу технологии положен тот факт, что политика безопасности браузера не запрещает использовать тег
<script type="text/javascript" src="…"></script>
для обращения к серверам, отличным от сервера, с которого произошла загрузка страницы.
Без использования технологии JSONP (то есть используя просто JSON кодирование данных) сервер может вернуть только данные.
Например, так:
{"paper": "A4", "count": 5}
Однако это только данные, и они не могут влиять на браузер.
Используя технику JSONP, стороннему серверу передается в строке вызова (GET) имя callback функции:
<script type="text/javascript" src="http://example.com/getjson?jsonp=parseResponse"></script>
Здесь параметр jsonp содержит имя callback функции parseResponse.
Теперь посторонний сервер example.com может вернуть следующий код:
parseResponse({"paper": "A4", "count": 5})
Теперь код вызывает javascript-функцию первого домена.
Поскольку JSONP использует скрипт теги, вызовы по сути открыты миру. По этой причине JSONP может быть неуместными для хранения конфиденциальных данных.
Включение скриптовых тегов от удаленных сайтов позволяет им передать любой контент на сайте. Если удаленный сайт имеет уязвимости, которые позволяют выполнить Javascript инъекции, то исходный сайт также может быть затронут ими.
JSONPP (parameterized JSON with padding — «параметризованный JSON с подкладкой») — развитие идеи JSONP.
JSONPP включает в себя URL источника, имя функции, которая будет обрабатывать JSON данные, строка для eval после получения данных и строка для eval после окончания обработки данных:
JSON_call(SRC,JSONP,JSONPP,ONLOAD);
в итоге оборачивается
ans = JSONP(SRC)
{
eval(JSONPP(ans));
eval(ONLOAD);
}
Для самой идеи JSONPP не принципиально количество параметров. Достаточно SRC, JSONP, JSONPP (и их обработка на стороне сервера, а затем клиента) для того, чтобы это был JSONPP.
Пример работы с сервисом S3DB:
function s3db_jsonpp_call(src, next_eval)
{
var call = "call_"+Math.random().toString().replace(/\./g,"");
var headID = document.getElementsByTagName("head")[0];
var script = document.createElement('script');
script.id = call;
script.type = 'text/javascript';
// using padded, parameterized json
src = src + "&format=json&jsonp=s3db_jsonpp&jsonpp=" +next_eval +"&onload=remove_element_by_id('" +script.id +"')";
script.src = src;
headID.appendChild(script); // retrieve answer
}
function s3db_jsonpp(ans, jsonpp){
eval(jsonpp);
return ans;
}
function remove_element_by_id(id){
var e = document.getElementById(id);
e.parentNode.removeChild(e);
return false;
}
Функция s3db_jsonpp_call() создаёт в DOM в части head элемент script, src которого соответствует вызову JSONPP.
После получения ответа от сервера будет вызвана s3db_jsonpp() — она передана в параметрах вызова, как это должно быть по правилам JSONP.
Внутри s3db_jsonpp() сработает eval(jsonpp), и произойдёт возврат значения ans.
Вызов eval(onload) приводит к выполнению remove_element_by_id() с id созданного скрипта в head и в итоге к его удалению, ведь он уже всё равно не будет использоваться, поскольку id в примере было сгенерировано случайным образом в самом начале функции s3db_jsonpp_call(). Этот вызов в ответе сервера.
Ссылки на объекты
Стандарт JSON не поддерживает ссылки на объекты, однако, Dojo Toolkit демонстрирует, как при помощи дополнительных соглашений можно обеспечить поддержку таких ссылок средствами стандартного JSON. Модуль dojox.json.ref предоставляет поддержку нескольких форм ссылок, включая круговые, множественные, междокументные и «ленивые» ссылки.
