jsonp的使用

最新推荐文章于 2024-04-24 11:32:38 发布
最新推荐文章于 2024-04-24 11:32:38 发布
阅读量1.6k 收藏 1
点赞数 2
文章标签: 前端 json javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lf811/article/details/117158166
版权

jsonp的原理,应用场景,优缺点


在开发测试中,难免会在不同域下进行跨域操作,出于安全性考虑,浏览器中的同源策略阻止从一个域上加载的脚本获取或者操作

另一个域下的文档属性,这时需要进行跨域的方式进行解决,如:使用jsonp ,iframe等

1.jsonp的原理
jsonp,即json+padding,动态创建script标签,利用script标签的src属性可以获取任何域下的js脚本,通过这个特性(也可以说漏洞),服务器端不在返货json格式,而是返回一段调用某个函数的js代码,在src中进行了调用,这样实现了跨域.

2.应用场景
在网上经常看到别人的blog中在用jsonp模仿360和百度进行跨域拿数据,这两者就是典型的跨域请求案例.又比如在近期开发中前端部分用的是vue.js进行开发,所以跟后台进行交互的时候就可以通过跨域进行通信,正好用的jsonp(折腾 一番之后,最终没有用这种方式,后面会说到),另外,qq空间大部分用的都是jsonp./

3.优缺点
jsonp优点:
完美解决在测试或者开发中获取不同域下的数据,用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了。简单来说数据的格式没有发生很大变化


jsonp缺点:

这里主要讲jsonp的缺点,也就是我上面说的没有用这个的原因

1.jsonp只支持get请求而不支持post请求,也即是说如果想传给后台一个json格式的数据,此时问题就来了,浏览器会报一个http状态码415错误,告诉你请求格式不正确(在登录注册中需要给后台传一大串数据),如果都用参数的形式拼接在url后面的话不太现实,后台取值也会显得繁琐,

2.在登录模块中需要用到session来判断当前用户的登录状态,这时候由于是跨域的原因,前后台的取到的session是不一样的,那么就不能用session来判断.

3.由于jsonp存在安全性问题(不知qq空间的跨域是怎么解决的,还是另有高招?)

后来考虑到上面的一系列问题,采用的是后台进行设置允许跨域请求(但还是存在缺陷的,实质上还是跨域,如上面说的session问题)

.Header set Access-Control-Allow-Origin * 

为了防止XSS攻击我们的服务器, 我们可以限制域,比如

Access-Control-Allow-Origin: http://blog.csdn.net


安全防范:

1.防止callback参数意外截断js代码,特殊字符单引号双引号,换行符存在风险.

2.防止callback参数恶意添加script标签,造成xss漏洞

3.防止跨域请求滥用,阻止非法站点恶意调用
 

lf811
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
VUE2.0之Jsonp使用方法(前端
AIGC大前端小王子
05-22 2万+
本文主要介绍的是在VUE2.0Jsonp使用方法,通过github引入jsonp和promise封装,实现跨域获取数据。 1.JSONP的用途和原理 使用JSONP主要是目的通过动态创建Script,动态拼接url,进而抓取数据,实现跨域。确切地说,AJAX请求由于同源影响,是不允许进行跨域请求的,而Script标签src属性中的链接却可以访问跨域的js脚本,利用这一特性,服务端不再...
简单介绍jsonp 使用小结
10-22
JSONP (JSON with Padding) 是一种跨域数据交互协议,它是JSON的一种使用方式,允许网页从不同域名(网站)获取数据。由于浏览器的安全策略——同源策略的限制,通常情况下,JavaScript只能与同一域名下的资源进行...
JSONP使用
yiyueqinghui的博客
11-17 1890
1、原生JSONP写法 /* * url: jsonp地址 * callback: 返回接收的函数名(String) */ function mockJsonp(url,callback){ var JSONP=document.createElement("script"); JSONP.type="text/javascript"; JSONP.src=`${url}?callback=${callback}`; document.getElementsByTagNam
jsonp详解
iteye_7682的博客
01-26 321
1. 什么是jsonp?        JSONP(JSON with Padding)是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问(这仅仅是JSONP简单的实现形式)。   2.JSONP有什么用?        由于同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端...
前端更优雅的使用 jsonp
最新发布
小学都hold不住的工程shi
04-24 1104
jsonp
JS原生JSONP使用
零学IT
12-28 2323
JSONPJSON with padding(填充式JSON或参数式JSON)的简写,是应用JSON的一种新方法,常用于服务器与客户端跨源通信,在后来的Web服务中非常流行。基础   JSONP的基本思想是,网页通过添加一个function handleResponse(response){ alert ("You're at IP address " + response.ip + "
JavaScript中的jsonp请求详解
qq_47099087的博客
04-27 698
JavaScript中的jsnop请求
使用 JSONP 实现跨域(速通)
高大志leo的博客
08-15 3467
两分钟,使用 JSONP 实现跨域。
java中的JSONP使用实例详解
10-19
前端使用jQuery库的`$.jsonp`方法发起JSONP请求。它的工作原理是在URL中添加一个名为`callback`的参数(或者在`callbackParameter`中指定的其他名称),其值为回调函数的名字。`dataType`设置为"jsonp",告诉...
jsonp 使用例子
01-26
下面将详细讲解JSONP的工作原理、使用场景以及如何实现JSONP。 **1. JSONP的工作原理** JSONP的核心思想是动态插入`<script>`标签,因为浏览器允许跨域加载JavaScript脚本。当服务器返回的数据被包裹在一个函数...
JQuery jsonp 使用示例代码
12-11
总结起来,这个例子演示了如何使用jQuery发起一个JSONP请求,从服务器获取数据,然后将数据动态渲染到网页上。JSONP在处理跨域数据交换时非常有用,尤其在旧版浏览器中,因为它不需要浏览器支持CORS(跨源资源共享)...
全面解析Ajax和jsonp使用总结
10-19
主要介绍了全面解析Ajax和jsonp使用总结 的相关资料,需要的朋友可以参考下
jsonp实现跨域
simple5960的博客
11-25 102
HTML有些默认得标签是支持跨域的如script img等标签 所以可以通过以上标签实现跨域 服务端代码 //引入express const express=require('express'); //创建应用对象 const app=express(); app.all('/jsonp-server',(request,response)=>{ //jsonp实现跨域 const data={"name":"simple"}; let str=JSON.stringify(d
请求跨域问题 解决办法之 - jsonp
天下大师傅
08-24 486
// 2018-03-26更新以下的代码是前端部分的,后台部分代码可以参考:java: https://www.cnblogs.com/ciscoo/p/6412731.htmlphp: https://www.cnblogs.com/xiezn/p/5651093.html还有一种办法是,jquery ajax 封装的jsonpajax请求数据时如果遇到报No 'Access-Control-A...
JSONP漏洞分析及利用方式
ak.Gh0st的博客
11-02 1580
jSONP 的最基本的原理是:动态添加一个< script >标签,而 script 标签的 src 属性是没有跨域的限制的。由于同源策略的限制,XmlHttpRequest 只允许请求当前源(域名、协议、端口都相同)的资源,如果要进行跨域请求, 我们可以通过使用 html 的 script 标记来进行跨域请求,并在响应中返回要执行的 script 代码,其中可以直接使用 JSON 传递 javascript 对象。
Jquery跨域获得Json
weixin_33727510的博客
06-24 358
这两天用 Jquery 跨域取数据的时候,经常碰到 invalid label 这个错误,十分的郁闷,老是取不到服务器端发送回来的 json 值, 一般跨域用到的两个方法为:$.ajax 和$.getJSON   最后,仔细安静下来,细读 json 官方文档后发现这么一段:   JSON数据是一种能很方便通过JavaScript解析的结构化数据。如果获取的数据文件存放在远程服务器上(域名...
Jsonp使用
weixin_42784553的博客
10-21 189
JSONP 跨域Ajax 浏览器同源策略:XMLHttpRequest 巧妙的机制JSONP JSONP: 利用创建script块,在期中执行src属性为:远程url 函数(返回值) function 函数(arg){ } jsonp.html &lt;!DOCTYPE html&gt; &lt;html lang="en"&gt...
JSONP原理及其使用
ldb923的博客
06-28 540
jsonp主要是为了解决跨域访问问题而产生的,其返回的数据格式一般就是一个js脚本,这个脚本有以下特点:返回的js脚本通常是服务端动态生成的。整个脚本通常有且仅有一条语句,且是一个函数调用。脚本中调用到的函数,是页面上存在的一个函数,其函数名通过get参数传递给服务端,服务端再将其回写到js脚本中。函数的参数,是服务端处理后的结果数据,以json格式直接写在脚本中。这也是jsonp得名的由来。因为...
java jsonp使用
07-27
Java中使用JSONP主要是通过使用跨域请求来获取JSON数据。JSONPJSON with Padding)是一种跨域请求技术,它实际上是通过在页面中动态创建一个`<script>`标签来加载远程的JSON数据,并通过回调函数来处理返回的数据。 下面是一个简单的Java JSONP的示例代码: ```java import javax.ws.rs.GET; import javax.ws.rs.Path; import javax.ws.rs.Produces; import javax.ws.rs.QueryParam; import javax.ws.rs.core.MediaType; @Path("/jsonp") public class JSONPService { @GET @Path("/data") @Produces(MediaType.APPLICATION_JSON) public String getJSONPData(@QueryParam("callback") String callback) { // 构造要返回的JSON数据 String jsonData = "{\"name\":\"John\", \"age\":30}"; // 将返回的数据包装成JSONP格式 String jsonpData = callback + "(" + jsonData + ")"; return jsonpData; } } ``` 上面的代码使用了JAX-RS(Java API for RESTful Web Services)来创建一个简单的RESTful服务。通过访问`/jsonp/data?callback=callbackFunction`,可以获取到如下格式的JSONP数据: ``` callbackFunction({"name":"John", "age":30}) ``` 在前端页面中,可以使用类似下面的代码来处理返回的JSONP数据: ```javascript function callbackFunction(data) { // 处理返回的JSON数据 console.log(data.name); console.log(data.age); } var script = document.createElement('script'); script.src = 'http://example.com/jsonp/data?callback=callbackFunction'; document.body.appendChild(script); ``` 以上代码中,通过动态创建`<script>`标签,设置`src`属性为请求JSONP数据的URL,并指定回调函数名字为`callbackFunction`。当服务器返回数据时,会调用该回调函数来处理返回的数据。 需要注意的是,JSONP存在一些安全性问题,因为它允许在页面中执行任意的JavaScript代码。因此,在使用JSONP时需要谨慎处理返回的数据,以防止潜在的安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值