jsonp

发表于 | 分类于 | | 阅读次数:
字数统计: | 阅读时长 ≈

JSONP跨域原理解析 可参考

JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制,即JavaScript只能访问与包含它的文档在同一域下的内容。

JavaScript这个安全策略在进行多iframe或多窗口编程、以及Ajax编程时显得尤为重要。根据这个策略,在baidu.com下的页面中包含的JavaScript代码,不能访问在google.com域名下的页面内容;甚至不同的子域名之间的页面也不能通过JavaScript代码互相访问。对于Ajax的影响在于,通过XMLHttpRequest实现的Ajax请求,不能向不同的域提交请求,例如,在abc.example.com下的页面,不能向def.example.com提交Ajax请求,等等

然而,当进行一些比较深入的前端编程的时候,不可避免地需要进行跨域操作,这时候“同源策略”就显得过于苛刻。JSONP跨域GET请求是一个常用的解决方案,下面我们来看一下JSONP跨域是如何实现的,并且探讨下JSONP跨域的原理。

举例说明

写法一:

jsonp

写法二:

jsonp

netwrok上查看接口如下

http://api.fang.58.com/phplocal/getshangquan/?jsoncallback=jQuery1800931218545883894_1463990648558&cityid=1&cateid=70134&localid=1142&_=1463990652773

Jsonp的执行过程如下:

一.

首先在客户端注册一个callback (默认名字为callback,用户可自定义名字如:’jsoncallback’,但要保证服务器能够查询到这个参数名)

说明:ajax内部的处理总的来分2大块 1.基于XMLHttpRequest的ajax请求 2.基于script的jsonp跨域请求

jquery源码(源码分析参考 )若想基于script的jsonp跨域请求,根据ajax传递的参数决定 首先看url上是否有callback=?(如jsoncallback=?就可以跨域请求,不管dataType参数值是什么)如果没有的话 会查看dataType的类型,如果是jsonp url上会拼接callback=?(默认是callback,当然如果参数上有 jsonp:’jsoncallback’,那么url会拼接jsoncallback=? 总之callback=?是核心 )

二。然后把callback的值(如:jQuery1236827957501 这个是jquery和随机数拼接在一起的 jquery源码可见)传给服务器。

expando: "jQuery" + (g.fn.jquery + Math.random()).replace(/\D/g, ""),
。。。
var e = qn.apop() || g.expando + "_" + Mn++;
注意:服务端得到callback的数值后,要用jQuery1236827957501(……)把将要输出的json内容包括起来,此时,服务器生成 json 数据才能被客户端正确接收。

三.然后以 javascript 语法的方式,生成一个function, function 名字就是传递上来的参数 ‘jsoncallback’的值 jQuery1236827957501 .
最后将 json 数据直接以入参的方式,放置到 function 中,这样就生成了一段 js 语法的文档,返回给客户端。

jQuery1800931218545883894_1463990648558({"threelocal":[{"cate":"A","catelist":[{"listname":"anzhenqiao","localname":"安贞","id":1204,"clickcode"。。。

四.客户端浏览器,解析script标签,并执行返回的 javascript 文档,此时javascript文档数据,作为参数, 传入到了客户端预先定义好的 callback 函数(如上例中jquery $.ajax()方法封装的的success: function (json) )里。可以理解成带有参数的函数调用

总结:

可以说jsonp的方式原理上和是一致的(qq空间就是大量采用这种方式来实现跨域数据交换的)。JSONP是一种脚本注入(Script Injection)行为,所以有一定的安全隐患。

var eleScript= document.createElement("script");
eleScript.type = "text/javascript";
eleScript.src = "http://example2.com/getinfo.php";
document.getElementsByTagName("HEAD")[0].appendChild(eleScript)

实质的调用形式 其实如下例子

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml" > 

<head> 

<title>Test Jsonp</title> 

<script type="text/javascript"> 

       function jsonpCallback(result) 
        { 
         alert(result.msg); 
        } 

    </script> 

<script type="text/javascript" src="http://crossdomain.com/jsonServerResponse?jsonp=jsonpCallback"></script> 
</head> 
<body> 
</body> 
</html>
sunbaixin wechat
欢迎您扫一扫上面的微信公众号,订阅我的博客!