通过脚本注入(JSONP)解决跨域访问原理分析

最新推荐文章于 2021-07-30 19:45:02 发布
最新推荐文章于 2021-07-30 19:45:02 发布
阅读量1.7k 收藏
点赞数
分类专栏: 技术 文章标签: jsonp 脚本 jquery function iis url
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsxqaz/article/details/7292192
版权
还记得之前为了解决跨域问题实现了一个简单的IIS,因为被说与需求不符合要求改成跨域访问的方式,所以必须要修改,于是就又进入了跨域访问的问题里,后来发现其实有一个更简单的跨域方法,也就是JSONP。给大家一个例子。

 $.ajax({
    type: "POST",
    url: " http://127.0.0.1:8890?link=1&jsoncallback=success",
    data: undefined,
    contentType: "application/json; charset=utf-8",
    async: true,
    dataType: "script",
    error: function(msg) {
        isClose = true;
    },
    success: function(data) { isClose = true; }
})

当然首先用jquery访问他帮我们处理了很多问题

function success(data) {
   alert(data);
}

脚本端就这些东西,然后是服务端的东西,在服务端如何丢数据出去?

Response.Write("success('123')");

“123”就是你希望抛给客户脚本端方法的数据还有要调用的方法。

看看是不是跨域访问时也alert出来了,顺便说一下,在实现IIS功能时发现jquery打包的请求,都是get包,那怕你前面设置为post最终收到的还是get包,查看jquery实现发现jquery为了解决跨域访问的问题在发现为跨域访问时强制改成了get包而不管你如何设置。这个也给我一个提醒,如果要跨域时必须使用get包,这点也要注意。

之前没有弄明白jsonp的原理,以为jsoncallback这个东西是关键其实不是,通过跟踪jquery发现,其原理其实非常的简单。

在所有的标签里script是可以跨域访问的,这个方法其实也就是利用了这一点。比如,下面的例子,我们希望跨域得到 www.abc.com的返回内容,为了做到这一点我们用script标签,并将标签的src属性设置为跨域地址,如下
<script src=' www.abc.com/ccc.aspx'>

大家发现没有通常情况下script的src属性一般指向js文件这次指向一个aspx文件,大家从这里可能已经发现问题的关键了,其实所谓脚本注入简单的讲就是通过访问一个地址这个地址的程序会向目标发送脚本比如(success('aaa')),这样当脚本载入完毕就会执行,也就跨域调用到了方法(因为脚本内容是另一个域中的程序写的,但是却在我的域中来执行)。这个也同时解释了为什么跨域访问时我的服务端每次收到的都是get包了。
wsxqaz
关注
专栏目录
脚本跨域完美实现-面向对象编程
07-28
脚本跨域完美实现-面向对象编程,仿百度、腾讯api实现
jsonp跨域请求数据实现手机号码查询实例分析
10-23
2. 服务器需要对JSONP请求进行安全校验,避免恶意脚本注入攻击。 3. 客户端在接收JSONP响应时,要保证正确处理回调函数,以避免执行非法代码。 文章提供的代码实例,实际上是通过在HTML页面中创建一个表单输入框让...
使用JSONP方法解决跨域问题
weixin_34186128的博客
02-23 101
还记得之前为了解决跨域问题实现了一个简单的IIS,因为被说与需求不符合要求改成跨域访问的方式,所以必须要修改,于是就又进入了跨域访问的问题里,后来发现其实有一个更简单的跨域方法,也就是JSONP。给大家一个例子。 $.ajax({ type: "POST", url: "http://127.0.0.1:8890?link=1&jsoncallback=success",...
使用jsonp完美解决跨域问题
weixin_30932215的博客
04-01 237
在项目中遇到错误提示“No 'Access-Control-Allow-Origin' header is present on the requested resource.”查了下度娘, 这个问题和安全机制有关,默认不允许跨域调用, 这里记录一下解决方案,防止以后再犯相同的错误。 调用web接口,get请求,发现提示:No 'Access-Control-...
JSONP跨域原理解析( 一种脚本注入行为)
aixu2180的博客
09-30 97
  JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中,有一个很重要的安全性限制, 被称为“some-Origin Policy”(同源策略)。这一策略对于JavaScript代码能够访问的页面内容作了很重要的限制, 即JavaScript只能访问与包含它的文档在同一域下的内容。   JavaScript这个安全策略在进行多Iframe或多...
JavaScript 的 Cross Site 脚本注入风险
框架提高生产力
01-20 1960
    今天有人来公司推销网站安全扫描软件,演示了对JS的跨域脚本注入风险的扫描,以前没意识到,今天有所了解。如果您的程序页面有以下情况,那么JS脚本注入的风险就很大: 1)页面打开时,URL 有某个参数,例如 XXPage.aspx?XXParam=XXValue2)aspx页面里有如下代码:    var p = ""; 注入风险如下:1)黑客假冒网站身份发
跨域恳求的完善解决方法(JSONP, CORS)_.docx
10-10
### 跨域请求的完善解决方法:JSONP与CORS #### 一、跨域问题概述 跨域问题是指浏览器出于安全考虑,限制了一个域下的文档或脚本不能请求另一个域下的资源。这是一种同源策略(Same-origin policy),旨在保护用户的...
跨域通信问题解决方案:CORS与JSONP原理
跨域通信给Web开发带来了便利,但也带来了一系列安全与权限的问题,如跨站请求伪造(CSRF)、跨站脚本攻击(XSS)等。因此,开发者需要谨慎处理跨域通信问题,以确保数据安全性。 ## 1.3 CORS与JSONP的作用 为解决...
跨域问题解决之道: Ajax中的JSONP原理与应用
浏览器出于安全考虑,防止恶意网站通过脚本进行安全攻击,限制了不同源之间的数据交互。 ## 1.3 跨域对Web应用的影响 跨域问题在Web应用中经常遇到,特别是在前后端分离架构中。如果没有合适的解决方法,跨域问题...
利用JSONP跨域实现跨站点单点登录(SSO)
JSONP(JSON with Padding)是一种跨域访问解决方案,它的基本原理是利用\标签可以跨域引用资源的特性来实现跨域通信。通过动态创建\标签,传递一个回调函数的函数名作为参数,服务器在收到请求后将数据作为参数...
配置iis支持.json格式的文件
weixin_30800807的博客
07-05 139
配置iis支持.json格式的文件 原文地址:http://blog.eroad.info/iis-suport-json/ 在做easyUI的官方示例的时候 有的例子是直接读取的json文件,但是默认iis是不支持.json格式的文件的 因此需要单独的配置 .json application/x-javascript 点击右侧添加脚本映射 如下:C:\Windows\...
跨域、sql注入、xss攻击
遨游大海
11-14 833
原文地址:http://www.cnblogs.com/webclz/p/4159577.html 这几天遇到这三个问题,现在简单的记录下来。 1、跨域     如我服务器的域名是www.test1.com,我在另一个服务器www.test2.com通过ajax访问www.test1.com的数据时,就引起跨域的问题,提示错误 No 'Access-Control-A
iis 允许跨域_IIS配置允许来自JavaScript文件的跨域JSONP请求
weixin_42568714的博客
01-14 596
我有一个HTML和JavaScript文件设置为从启用JSONP的Web服务中检索数据。我的问题是,当我将html和.js文件部署到运行服务的目录时,它将执行得很好,但如果我尝试从另一个主机运行html和.js文件,则该请求不会使它Web服务和Java脚本给我一个服务器500错误。IIS配置允许来自JavaScript文件的跨域JSONP请求我正在使用Chrome的开发人员工具来查看xmlhttp...
使用jsoup 对HTML 文档清理防止脚本注入
xinghaifeng2006的专栏
02-18 280
  jsoup 在提供强大的 API 同时,人性化方面也做得非常好。在做网站的时候,经常会提供用户评论的功能。有些用户比较淘气,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,例如 XSS 跨站点攻击之类的。 jsoup 对这方面的支持非常强大,使用非常简单。看看下面这段代码: public static String getTrueValu...
服务器 响应get,服务器认为响应时,是什么导致HTTP GET到localhost超时?
weixin_31602525的博客
07-30 517
我有一个在AWS Beanstalk(Tomcat 8.5 + Apache httpd)中运行的Java应用程序。在某一时刻,应用程序在本地主机上调用REST端点。有时,我在日志中看到这样的故障:14:55:45 ... SEVERE: url[http://localhost/detail.api?id=200030599] timing=12.010 ...That indicates th...
IIS配置支持跨域请求
热门推荐
czckaito的博客
08-14 2万+
网站支持跨域请求,这里介绍一个最基础的方式,配置HTTP响应标头
IIS静态网站支持跨域请求
Codec007的专栏
02-09 6222
在静态网站的web.config中配置customHeaders节点,详情如下 <!-- 有关如何配置 ASP.NET 应用程序的详细信息,请访问 http://go.microsoft.com/fwlink/?LinkId=169433 -->
C#.net 不用JSONP, 设置Access-Control-Allow-Origin来实现跨域访问
chelen_jak的专栏
03-28 9999
一、通过IIS配置 可以参考《跨域访问-需要设置HTTP响应标头》, 这种方法其实就是改了Web.config(即下面的第二种方法),只不过是提供一个操作的介面罢了。二、配置Web.config文件  (推荐)1、允许 "所有网站" 跨域访问写法:&lt;configuration&gt; &lt;system.webServer&gt; &lt;httpProtocol&gt...
IIS7.5中对所有请求响应的JSON数据进行GZIP编码
kufeiyun的专栏
07-18 4043
当你有一个RESTful的web service,并且请求返回的数据格式为JSON格式,你可能希望无论客户端请求头中是否包含Accept-Encoding: gzip,都希望对数据进行gzip/compressed处理,只需对mime type list进行如下设置,添加如下内容 application/json; charset=utf-8 操作步骤: 1.配置文件编辑
详解jsonp解决跨域问题的原理与实例
本文主要针对JavaScript(JS)中的跨域问题进行详细分析,介绍jsonp这一解决方案。跨域问题源于浏览器的同源策略,即出于安全考虑,JS在设计时不允许来自不同源(如不同域名或端口)的脚本或文档访问或操作其他源的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值