6.AJAX之JSONP跨域

AJAX之JSONP跨域

本节讲解下利用JSONP实现百度智能搜索案例

需求：
输入框输入关键字同时，会利用AJAX不断跟后台进行交互，进而实现局部更新页面关键词功能，因为涉及跨域，所以这里用JSONP方式解决

接口URL：
https://sp0.baidu.com/5a1Fazu8AA54nxGko9WTAnF6hhy/?wd=&cb=

因为百度搜索接口不太稳定，接下来改用电商接口
淘宝商品搜索建议

PS：callback是回调函数设定

JSONP跨域案例

第一步：
首先编写模板代码，设置静态样式，如下所示

功能分析：
在输入框中输入关键字后，底下出现对应的智能匹配关键词
例如，在输入框输入“333”

第二步：
编写键盘事件，监听按键松开，获取输入值

第三步：
获取到输入值之后，需要动态写入内容。接下来使用JSONP跨域，所以需要动态创建标签。

接口：https://sp0.baidu.com/5a1Fazu8AA54nxGko9WTAnF6hhy/?wd=&cb=

关键字为wd，回调函数为cb，所以对代码封装如下
动态创建script标签，利用JSONP原理跨域调取数据

第四步：
script标签筛选去重
目前为止，输入关键字后控制台会输出打印相关数据，例如输入7后再次输入8，如下所示

第四步：
script标签筛选去重
日常使用时，只需要创建一个script标签即可，后期修改关键字时，只需要修改src就行了。所以接下来判断下script标签是否重复，做判断处理。

第五步：
动态创建元素，创建关键词智能匹配列表

接下来将ul高度改为auto自动

第五步：
动态创建元素，创建关键词智能匹配列表

接下来简单设置下样式即可。

第五步：
动态创建元素，创建关键词智能匹配列表
接下来简单设置下样式即可。

第六步：
添加跳转事件
目前为止，点击智能搜索列表项，无法完成跳页，此时需要另外一个搜索接口https://www.baidu.com/s?&wd=

JSONP限制

优点：
1、它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制，JSONP可以跨越同源策略
2、兼容性更好，在更加古老的浏览器中都可以运行，不需要XMLHttpRequest或ActiveX的支持
3、在请求完毕后可以通过调用callback的方式回传结果。将回调方法的权限给了调用方，相当于将controller层和view层分开。提供的jsonp服务只提供纯服务的数据，至于提供服务以 后的页面渲染和后续view操作都由调用者来自己定义。如果有两个页面需要渲染同一份数据，只需要有不同的渲染逻辑就可以了，逻辑都可以使用同 一个jsonp服务。
缺点：
1、请求类型：它只支持GET请求而不支持POST等其它类型的HTTP请求
2、不能解决不同域的两个页面之间如何进行JavaScript调用的问题
3、响应状态：jsonp在调用失败的时候不会返回各种HTTP状态码
4、安全性：最大缺点是安全性，假如提供jsonp的服务存在页面注入漏洞，即它返回的javascript的内容被人控制的。那么结果是什么？所有调用这个 jsonp的网站都会存在漏洞。于是无法把危险控制在一个域名下…所以在使用jsonp的时候必须要保证使用的jsonp服务必须是安全可信的。

跨域

前言：
浏览器出于安全的考量（避免恶意网站轻易读取其他网站显示的内容，因为该内容可能含有敏感信息，想象iframe嵌套银行网页）原则上允许跨域写而限制了跨域读。写是指数据的上行/发送（sending request），读是指数据的下行/接收（receiving response）。
然而跨域写也是很不安全的，容易导致CSRF/clickjacking攻击。浏览器已经限制了跨域读，再限制跨域写的话，那互联网的每个页面都成了孤岛。避免非法跨域写需要用到token。

考虑下述情况：
1、指向外部域名的link和通过表单的向外部域发起get请求是一样的，也都是允许的，点击那一刻起，浏览器的当前域名转向了目标网站，也就完全是域内读了。
2、通过表单向外部域发起post请求也是允许的，理由同上，源网站无法读取目标网站的任何内容。
3、AJAX（借助XMLHttpRequest对象）跨域get/post是禁止的，因为使用AJAX就是为了读取响应的内容，这触碰了跨域读的限制。
4、JSONP属于跨域读，且形式限制为get请求，因为它利用了script标签的特性（浏览器认为跨域读脚本是例外，类似的还有img、iframe等等，注意它们共有的src属性）。

因此对于浏览器而言：1和2没有跨域；3遵循了限制跨域读的原则；4属于允许的例外。

分析：
虽然JSONP很好用，但它注定是get请求，get请求有语义要求（幂等）、长度限制（为了兼容限制255字节）、安全隐患（容易受到csrf攻击，csrf的解决必须是post请求配合token使用）
扫盲：CSRF（Cross-site request forgery）跨站请求伪造，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

post跨域

那么，如何实现跨域post请求呢？

1、CORS跨域资源共享
概述：Cross-Origin Resource Sharing，W3C制定的跨站资源分享标准。
优点：W3C标准方案
缺点：不兼容老浏览器
注意：若在多个iframe之间跨域通信，优先考虑 window.postMessage（H5 新技术→ 安全地实现Window对象之间的跨域通信）

2、invisible iframe(隐形)
概述：通过js动态生成不可见表单和iframe，将表单的target设为iframe的name以此通过iframe做post提交。提交后由于跨域，无法直接读取响应内容。一般的做法是，iframe内通过js改变自身location的fragment，外部则监听iframe的onload事件，读取fragment的内容。有现成的跨域iframe通信类库，如jQuery PostMessage Plugin。
优点：兼容性佳，facebook，google，新浪已/曾采用
缺点：依赖hack实现，响应数据量大时需要切片、多次设置fragment并轮询，响应频繁时可能失效。

3、server proxy (服务器代理权)
概述：当前域实现一个代理，所有向外部域名发送的请求都径由该代理中转。
缺点：每个使用方都需要部署代理，数据中转低效，对js有侵入。
4、flash proxy(flash 代理权)
概述：利用不可见的swf跨域post提交数据，需要部署crossdomain.xml。例如alirte会自动检测，若用户安装了flash，则以此实现跨域通信。
要求：flash9，缺点：依赖flash
优点：ADOBE标准方案，相对CORS兼容性佳，相对invisible iframe响应数据量较大时优势明显。

跨域post请求：
1、CORS(跨域资源共享)
2、invisible iframe(隐形)
3、server proxy (服务器代理权)
4、flash proxy(flash 代理权)

手机查询接口
http://tcc.taobao.com/cc/json/mobile_tel_segment.htm?tel=手机号

案例：

步骤分析：
1、编写静态页面
2、绑定监听事件，获取输入值
3、调用手机信息查询接口并调用回调函数
4、定义回调函数，检测返回数据
5、解析数据，js操作返回数据，实现页面局部刷新

手机查询接口
http://tcc.taobao.com/cc/json/mobile_tel_segment.htm?tel=手机号

JSONP步骤

JSONP步骤小结
1、动态创建

2、在页面中，返回的JSON作为参数传入回调函数中，然后通过回调函数来来操作数据，最后在控制台，可以查看到返回的response数据格式为JSON对象格式的，具体需要取出哪些参数，可以根据自己的需要

JSONP步骤小结
以上为开发中的步骤，但从原理角度出发，正确解析步骤应该为
1、首先在客户端注册一个callback，然后把callback的名字传给服务器
2、客户端浏览器，解析script标签，并执行返回的 javascript 文档

JSONP小结

（1）JSONP实现跨域请求的原理
简单的说，就是动态创建< script>标签，然后利用 < script>的src 不受同源策略约束来跨域获取数据。
QQ空间就是大量采用这种方式来实现跨域数据交换的
（2）JSONP构成部分
两部分组成：回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数。回调函数的名字一般是在请求中指定的。而数据就是传入回调函数中的 JSON 数据。
（3）JSONP安全性
JSONP 是从其他域中加载代码执行。如果其他域不安全，很可能会在响应中夹带一些恶意代码，而此时除了完全放弃 JSONP 调用之外，没有办法追究。因此在使用别人的Web 服务时，一定得保证它安全可靠。
（4）JSONP请求类型
JSONP只支持get请求类型，不支持post请求。原理是使用script标签进行的，标签默认就是get请求，标签没有位置让你设置post。

JSONP跨域局限

JSONP解决跨域虽然是常用的方法，但也存在很多局限
1、不能接受HTTP状态码
2、不能使用POST提交（默认GET）
3、不能发送和接受HTTP头
4、不能设置同步调用（默认异步）
其最严重的就是不能提供错误处理，如果请求的代码正常执行那么会得到正确的结果。如果请求失败，如404,500之类，那么可能什么都不会发生。即要确定 JSONP 请求是否失败很难，虽然 HTML5 给

JSONP跨域

小结：
总结出来就一句话，如果你要使用jsonp，一定要知道并接受它的缺点，因为你只能适应它
但在日常开发里，最好的方式就是尽量不要使用jsonp，跨域这块交给后端来解决，那样前端就可以使用一些axios、fetch、http等框架来发送请求，这样就能正常的拿到你想要的状态码。

如有问题或者疑问请留言联系小编！！！！

感谢来访！！！！