JSONP
1. JSONP原理
利用 <script>
标签没有跨域限制的漏洞,网页可以得到从其他来源动态产生的 JSON
数据。JSONP
请求一定需要对方的服务器做支持才可以。
2. JSONP和AJAX对比
JSONP
和AJAX
相同,都是客户端向服务器端发送请求,从服务器端获取数据的方式。但AJAX
属于同源策略,JSONP
属于非同源策略(跨域请求)
3. JSONP优缺点
JSONP
优点是简单兼容性好,可用于解决主流浏览器的跨域数据访问的问题。缺点是仅支持get
方法具有局限性,不安全可能会遭受XSS
攻击。
4. JSONP的实现流程
- 声明一个回调函数,其函数名(如
callFun
)当做参数值,要传递给跨域请求数据的服务器,函数形参为要获取目标数据(服务器返回的data)。 - 创建一个
<script>
标签,把那个跨域的API数据接口地址,赋值给script的src,还要在这个地址中向服务器传递该函数名(可以通过问号传参:?callback=callFun
)。 - 服务器接收到请求后,需要进行特殊的处理:把传递进来的函数名和它需要给你的数据拼接成一个字符串,例如:传递进去的函数名是
callFun
,它准备好的数据是callFun('你好啊')
。 - 最后服务器把准备的数据通过HTTP协议返回给客户端,客户端再调用执行之前声明的回调函数(
callFun
),对返回的数据进行操作。 - 回调完成删除此
script
自己封装:
//Promise封装
function jsonp({ url, params, callback }) {
return new Promise((resolve, reject) => {
let script = document.createElement('script')
window[callback] = function(data) {
resolve(data)
document.body.removeChild(script)
}
params = { ...params, callback } // wd=b&callback=callFun
let arrs = []
for (let key in params) {
arrs.push(`${key}=${params[key]}`)
}
script.src = `${url}?${arrs.join('&')}`
document.body.appendChild(script)
})
}
jsonp({
url: 'http://localhost:3000/code',
params: { wd: 'hello world' },
callback: 'callFun'
}).then(data => {
console.log(data) // 你好啊
//再此回调结束后删除该script
})
// server.js
let express = require('express')
let app = express()
app.get('/code', function(req, res) {
let { wd, callback } = req.query
console.log(wd) // hello world
console.log(callback) // callFun
res.end(`${callback}('你好啊')`)
})
app.listen(3000)
5. jQuery的jsonp形式
JSONP都是GET和异步请求的,不存在其他的请求方式和同步请求,且jQuery默认就会给JSONP的请求清除缓存。
$.ajax({
url:"${myUrl}",//请求后台接口
dataType:"jsonp",
type:"get",//可以省略
jsonpCallback:"callFun",//->自定义传递给服务器的函数名,而不是使用jQuery自动生成的,可省略
jsonp:"callback",//->把传递函数名的那个形参callback,可省略
success:function (data){
console.log(data);
}
});