主幹集合，REST和裸陣列

Question

在主幹中，它seems to be encouraged that collection resources return bare arrays。這似乎是driven by the Rails model of doing things，這不是一個很好的理由在所有做些事情。我有這個幾個問題：

1. 通常，'集合'資源也需要它周圍的上下文。至少，我喜歡在響應中包含資源URI的約定。其他的東西，如分頁，小計（例如在購物車中）等意味着集合很少是「裸露」的。
2. Bare Arrays據說有安全問題。我在幾個地方聽到過這個消息，但需要一些參考文件才能確認。

在另一方面，我可以看到「裸」的陣列將成爲一個API更自然：

1. 集合中的每個對象的格式將趨於一樣的格式時創建/更新該集合中的對象。
2. 「集合」在語義上很好地映射到項目集合的概念。

聲明：這裏的前提可能是完全有缺陷的。我意識到REST比HTTP動詞和JSON多得多。

Answer 1

您引用的安全問題是由腳本包含的JSON數組可以通過覆蓋原生javascript Array類型來評估的事實導致的CSRF漏洞。 Here's a good explanation of the vulnerability。 AFAIK，這對於普通的JSON對象是不可能的。

但是，Backbone不會阻止你包裝收集響應。在填充集合之前，您可以重寫Backbone.Collection.parse以「解開」或以其他方式修改原始響應。

var MyCollection = Backbone.Collection.extend({ 
    model:MyModel, 
    parse: function(response) { 
    //Assume the response looks like { "data": [ ... ] } 
    return response.data; 
    } 
}); 

我通常喜歡包裹收集響應，不僅出於安全原因，還因爲它允許API中更大的靈活性和變化的彈性。