通过动态创建script标签,其scr指向非同源的url,并传递一个callback参数给服务端,服务器返回一个以callback参数作为函数名的函数的调用和一系列参数,页面接收到响应后执行回调并对数据进行处理。
优点:
- JSONP可以跨越同源策略,实现跨域传输,不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;
- JSONP兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;
- 在请求完毕后可以通过调用callback的方式回传结果。将回调方法的权限给了调用方。
缺点:
- 它只支持GET请求而不支持POST等其它类型的HTTP请求,因为script标签的scr只能进行GET请求;
- 它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题;
- jsonp在调用失败的时候不会返回各种HTTP状态码;
- 缺乏安全性。假如提供jsonp的服务存在页面注入漏洞,即它返回的javascript的内容被人控制的,那么所有调用这个jsonp的网站都会存在漏洞,这样的话危险就不止在一个域名下。