乐趣区

关于javascript:JSONP的实现

1. 是什么

JSONP 全称 (Json with Padding); 由 Bob Ippolito 于 2005 年提出。JSONP 反对绕过同源策略共享数据。
因为同源策略,浏览器在发送 Ajax 申请时,只接管同域服务器响应的数据资源;JSONP 是利用了 script 标签的 src 属性来实现跨域数据交互的,因为浏览器解析 HTML 代码时,原生具备 src 属性的标签,浏览器都赋予其 HTTP 申请的能力,而且不受跨域限度,应用 src 发送 HTTP 申请,服务器间接返回一段 JS 代码的函数调用,将服务器数据放在函数实参中,前端提前写好响应的函数筹备回调,接收数据,实现跨域数据交互;

二、实现

const jsonp = ({url, params, callbackName}) => {const generateUrl = () => {
        let dataSrc = ''
        for (let key in params) {if (params.hasOwnProperty(key)) {dataSrc += `${key}=${params[key]}&`
            }
        }
        dataSrc += `callback=${callbackName}`
        return `${url}?${dataSrc}`
    }
    return new Promise((resolve, reject) => {const scriptEle = document.createElement('script')
        scriptEle.src = generateUrl()
        document.body.appendChild(scriptEle)
        window[callbackName] = data => {resolve(data)
            document.removeChild(scriptEle)
        }
    })
}

三、安全性问题

跨站申请伪造
简略的 JSONP 部署容易受到跨站点申请伪造(CSRF 或 XSRF)攻打。因为 HTML<script> 元素不恪守 Web 浏览器实现中的同源策略,因而歹意页面能够申请并获取属于另一个站点的 JSON 数据。这将容许在歹意页面的上下文中评估 JSON 编码的数据,如果用户以后登录到其余站点,可能会泄露明码或其余敏感数据。

退出移动版