javascript --- > [jsonp] script标签的妙用(绕过同源限制)

最新推荐文章于 2024-06-20 20:55:24 发布
最新推荐文章于 2024-06-20 20:55:24 发布
阅读量858 收藏
点赞数
分类专栏: JavaScript NODE 读书笔记 文章标签: jsonp javascript express 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piano9425/article/details/104169137
版权
本文详细介绍了JSONP的工作原理及其在跨域中的应用。首先解释了同源政策的原因,然后通过逐步讲解如何实现和优化JSONP请求,包括动态创建script标签、将回调函数封装在JSONP中以及将GET请求参数整合到JSONP。最后通过实战例子展示了如何使用JSONP从腾讯天气API获取数据。
摘要由CSDN通过智能技术生成

1. 同源

1.1 什么是同源

协议、域名、端口号相同

1.2 为什么有同源政策

同源政策是为了保护用户信息的安全,放置恶意的网站窃取数据。最初的同源政策是指A网站再客户端设置的Cookie,B网站是不能访问的.

随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项规定就是无法向非同源地址发送Ajax请求,如果请求,浏览器就会报错

2. jsonp

  • jsonp是json with padding(将JSON数据作为填充内容)的缩写,它不属于Ajax请求,但它可以模拟Ajax请求。
  • 核心:利用了script标签可以向非同源端的服务器发送请求的特性,加载完毕后,相当于把服务器返回的内容当作JavaScript代码执行

2.1 准备工作

  • 准备2个服务器,一个监听3000端口(作为客户端),一个监听3001端口(作为服务端)
  • 两个服务器都暴露静态资源,3000端口服务器代码如下(3001端口类似):
const express = require('express')
const path = require('path')
const app = express()

app.use(express.static(path.join(__dirname, 'public')))

app.listen(3000, () => {
   
  console.log('http://localhost:3000')
})

2.2 JSONP的实现

1.在3001端口服务器中添加如下代码:

app.get('/jsonp',(req,res)=>{
   
    const data = `fn({name:'Marron', age:18, remarks:'JSONP测试'})`;
    res.send(data)
})

2.先定义一个全局函数,在使用script标签加载S2服务器的资源

<script>
    // 假设服务器返回的数据存储在data中
    function fn(data) {
    
        console.log(data);
	}
</script>
<!-- 使用jsonp加载资源 -->
<script src
最低0.47元/天 解锁文章
栗子好好吃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScriptJSONP
离开屏幕的光,哪盏灯照亮你的孤独?
04-21 403
同源策略 所谓同源策略就是指文档的js脚本只能访问和它处于同源的数据文件。如一个HTML文档中封装了ajax请求,要向服务器请求数据,那么被请求的数据必须和这个HTML文档在同一源,即必须同源。 所谓同源就是指两个文件的协议、域名(ip)、端口必须相同。如果不相同,则意味着不同源,这样浏览器是不允许访问的。AJAX必须是访问同源的数据。 而解决这种同源策略的方法称之为跨域跨域的方法有很多种,这里介绍一下最经典的jsonp跨域。 JSON和JSONP JSONP和JSON好像啊,他们之间有什么联系
深入浅出jsonp
weixin_34319817的博客
06-23 106
前言   第一次听说jsonp,其实早在2年之前。当时在做一个活动页面的抽奖模块,要从服务端get一个概率,当时什么都不懂,同事说用ajax,我就用ajax,同事说dataType改成jsonp,我就改成jsonp。于是乎活动页面做完了,以后也没有碰到过jsonp,在这期间我一直以为jsonp跟ajax息息相关,是xhr的一种特殊的跨域形式...直到一个月前的一次面试,问到jsonp我被虐成狗,...
跨域数据请求技术JSONP详解
繁依Fanyi的博客
06-20 1557
当谈到 JSONP,就像是在谈论你在一场派对上认识的新朋友一样。让我们从头开始介绍。JSONP,简称 JSON with Padding,是一种利用标签进行跨域数据请求的技术。它允许你在网页中请求来自其他域的数据,而无需担心浏览器的同源策略(Same-Origin Policy)带来的限制。以一个简单的比喻来说,就像你在一家餐馆点菜一样。你可以在自己家里使用电话点餐,然后等着外卖送达,而不需要亲自去餐馆。JSONP允许你在当前页面中加载其他网站的数据,就像是通过电话点餐一样轻松。
JS跨域调用之JSONP--动态Script标…
rongwenbin的专栏
08-09 616
更新的比较慢,做一个简单的JSONP的例子,网上的例子大都是拷过来拷过去的,格式比较乱。如果有任何问题请拍砖。 前面一个帖子http://wwwcomy.iteye.com/blog/1806724写了如何在同一个基础域名下实现JS跨域访问,实际上这个“跨域”是为了在同一基础域名下iframe子页面与父页面之间的函数调用。 而动态Script标签的方式往往是用来访问不在同一个域的服务器内部的
JS变异小技巧:使用JavaScript全局变量绕过XSS过滤器
systemino的博客
07-29 635
什么是JavaScript全局变量? JavaScript全局变量在函数外部声明或使用window对象声明,它可以通过任何函数访问。 假设你的目标Web应用程序容易受到映射到JavaScript字符串或JavaScript函数中的XSS的攻。 例如,下面的PHP脚本: echo"<script> varmessage='Hello".$_GET["name...
利用scriptscriptlet moniker绕过脚本白名单限制
weixin_30666753的博客
08-09 162
没事儿看了一下subtee和enigma0x3今年在BSides Nashville 2017上的演讲,觉得这两个猥琐男简直不能再猥琐了 :-)其中有一个猥琐小技巧,又可以让我们好好hunting一番了。我这里先简单介绍一下吧: 在很多时候我们发现我们在目标机器环境里想要运行个js或者vbs脚本很困难,原因就是因为好多环境里使用了白名单限制机制只允许特定签名的脚本文件可以执行。在这样的环境里,我...
core-shared-lib:支持共享基于 JSONPJavaScript
06-07
服务器返回的数据包裹在这个回调函数中,这样JavaScript代码就可以直接执行这个回调函数并处理返回的数据,从而绕过了浏览器的同源策略限制。 **核心共享库的功能** `core-shared-lib`提供了一种机制,使得开发者...
vue-springboot-cros_jsonp:前初步跨域,cors,jsonp(新版springmvc)实现
03-27
JSONP是一种绕过同源策略的技术,主要用于解决老版本浏览器不支持CORS的情况。它利用了`<script>`标签不受同源策略限制的特性,通过动态创建`<script>`标签并设置其`src`属性为后端提供的带有回调函数的URL,后端...
Vue2.0 vue-source jsonp 跨域请求
10-19
3. 传统的AJAX请求无法用于跨域请求,因为XMLHttpRequest对象遵守同源策略,而jsonp请求通过动态创建<script>标签的方式绕过这一限制。 文章的代码示例提供了如何在Vue2.0项目中实现jsonp跨域请求的基本步骤: - ...
小程序-05-JavaScript 网络请求.pptx
最新发布
07-16
- **JSONP**:利用<script>标签不受同源策略限制的特点,实现跨域请求。 - **CORS**(Cross-Origin Resource Sharing):服务器通过设置特定的响应头来允许指定的跨域请求。 - **代理服务器**:通过配置前端或后端...
JavaScript绕过
Whatsoever1的博客
02-23 532
此外, 也可以通过Burp Suite 抓包/改包的方式, 先将文件的扩展名修改为符合脚本要求的格式(例如. jpg、. png或者. gif),然后通过 Burp Suite抓包修改扩展名的方式绕过。在JavaScript 文件上传防护中, 由于对上传文件的检测发生在客户端, 因此是一种不安全的文件上传防护方式,攻击者可以很轻松地绕过。var errMsg = "该文件不允许上传, 请上传" + allow_ext + "类型的文件,当前文件类型为: " + ext_name;//提取上传文件的类型。
️ 如何绕过 BKY 对 script 的屏蔽
weixin_30421525的博客
01-21 213
Conmajia January 20, 2019 警告 这是试验,警告个屁,请不要多多尝试用它做多余的事。 果不其然,这篇文章立刻被移出主页了,我就说嘛,BKY 哪儿会那么包容和坦然呢? 原文 document.title = "[我是 JS 生成的!] " + document.title .b...
动态script标签jsonp)-跨域调用
tann888的博客
10-10 1069
跨域是指不符合同源策略; 同源策略: (1)协议相同; (2)端口号相同; (3)域名相同; http://www.demo.com http://www.demo.com:8080 https://www.demo.com     http://www.demo.com http://www.demo.com/index.html     原生代码: clien...
异步加载script实现jsonp效果
weixin_30580341的博客
09-30 87
function scriptLoad(src,callback){ var script=document.createElement('script'); scriptOnload(script,callback); script.src=src; document.getElementsByTagName('head')[0].appendChil...
JavaScript】第二十二天(JSONP
wu12378900的博客
02-25 578
JSONP 一、cookie封装 function getCookie(key) { // 获取所有的cookie document.cookie let cookie = document.cookie;//"username=zhangsan; password=123456" let arr = cookie.split('; '); //['username=zhangsan','password=123456'] // 遍历arr for (let i =
LyScript 实现绕过反调试保护
热门推荐
CSDN
08-12 1万+
LyScript插件中内置的方法可实现各类反调试以及屏蔽特定API函数的功能,这类功能在应对病毒等恶意程序时非常有效,例如当程序调用特定API函数时我们可以将其拦截,从而实现保护系统在调试时不被破坏的目的。
JavaScript实现JSONP(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
11-03 341
JavaScript实现JSONP(附完整源码)
跨域JSONP
weixin_34417635的博客
02-26 80
JSONP : (json with Padding) 是一种借助于 script标签发送跨域请求的技巧. 原理 : 就是在客户端借助script标签请求服务端的一个动态网页(php文件),服务端的这个动态网页返回一段带有函数调用的javaScript全局函数调用的脚本,将原来需要返回给客户端的数据传递出去.(随机创建一个函数,把函数名传给服务端,避免客户端多次调用重名导致的问题). jsonp简...
JavaScript学习 -- jsonp跨域请求
weixin_41489908的博客
07-22 1240
JSONP 是一个使用非常广泛的跨域请求技术。通过简单的回调的方式,能方便地实现从不同域名的服务端动态地获得 JSON 数据。虽然使用起来比较方便,但也存在某些限制JSONP 体现了一种传统 JavaScript 方式,如果不需要传输敏感数据或处理安全要求比较高的场景,我们仍然可以使用此技术。
深入理解JavaScript同源政策及其规避方法
- JSONP(JSON with Padding):通过动态创建`<script>`标签绕过同源政策,适用于GET请求。 - CORS(Cross-Origin Resource Sharing):服务器通过设置特定响应头允许跨域请求,更安全且支持多种HTTP方法。 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值