1. 是什么
JSONP全称(Json with Padding);由Bob Ippolito于2005年提出。JSONP反对绕过同源策略共享数据。
因为同源策略,浏览器在发送Ajax申请时,只接管同域服务器响应的数据资源;JSONP是利用了 script 标签的 src 属性来实现跨域数据交互的,因为浏览器解析HTML代码时,原生具备src属性的标签,浏览器都赋予其HTTP申请的能力,而且不受跨域限度,应用src发送HTTP申请,服务器间接返回一段JS代码的函数调用,将服务器数据放在函数实参中,前端提前写好响应的函数筹备回调,接收数据,实现跨域数据交互;
二、实现
const jsonp = ({ url, params, callbackName }) => { const generateUrl = () => { let dataSrc = '' for (let key in params) { if (params.hasOwnProperty(key)) { dataSrc += `${key}=${params[key]}&` } } dataSrc += `callback=${callbackName}` return `${url}?${dataSrc}` } return new Promise((resolve, reject) => { const scriptEle = document.createElement('script') scriptEle.src = generateUrl() document.body.appendChild(scriptEle) window[callbackName] = data => { resolve(data) document.removeChild(scriptEle) } })}三、安全性问题
跨站申请伪造
简略的 JSONP 部署容易受到跨站点申请伪造(CSRF 或 XSRF)攻打。因为 HTML<script>元素不恪守Web浏览器实现中的同源策略,因而歹意页面能够申请并获取属于另一个站点的 JSON 数据。这将容许在歹意页面的上下文中评估 JSON 编码的数据,如果用户以后登录到其余站点,可能会泄露明码或其余敏感数据。