Jsonp跨域请求

最新推荐文章于 2025-06-15 16:06:23 发布
原创 最新推荐文章于 2025-06-15 16:06:23 发布 · 373 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jsonp #xmlhttprequest #ajax #url #w3c

本文介绍了浏览器的同源策略及产生的原因,并详细解析了三种主要的跨域解决方案:通过后台代理获取数据、CORS(跨域资源共享)和JSONP。通过实例展示了如何使用JSONP进行跨域请求。

浏览器的同源策略

URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。
三者有一个不同则会产生跨域。

跨域的几种解决方案

1,通过后台通过代理获取其它域名下的数据

2,CORS

CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing),它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

Access-Control-Allow-Origin 该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求

3,JSONP

JSONP和JSON不一样,它并不是一种数据格式。而一种JavaScript实现跨域数据访问的方式。

JSONP跨域的原理

在浏览器中,script、img、iframe、link等标签都可以加载跨域资源,而不受同源限制。
而Jsonp就是利用script标签可以加载外部标签这一特性来实现跨域请求。下面看一个小demo。

数据库如图:
这里写图片描述

php代码

<?php
    class Lists {
        public $id;
        public $name;
        public $url;
        public $country;
    }

    function connect() {
        $localhost = 'localhost';
        $username = 'root';
        $password = 'root';
        $database = '10086q';

        $con = mysqli_connect($localhost,$username,$password,$database);
        if (mysqli_connect_error($con)) {
            echo "连接错误".mysqli_connect_error();
            return null;
        }
        return $con;
    }


    $conn = connect();
    $sql = 'select * from websites';

    $res = mysqli_query($conn,$sql);
    $data = array();
    if ($res->num_rows > 0) {
        while ($row = $res->fetch_assoc()) {
            $list = new Lists();
            $list->id = $row['name'];
            $list->name = $row['name'];
            $list->url = $row['url'];
            $list->country = $row['country'];        
            array_push($data,$list);
        }
    } else {
        echo "没有数据";
    }

    //判断是否为跨域
    if (isset($_REQUEST['callback'])) {
        $callback = $_REQUEST['callback'];
        $str = json_encode($data);
        echo $callback.'('.$str.')';
    } else {
        echo json_encode($data);
    }

?>

前端代码

<!DOCTYPE html>
<html>
    <head>
        <meta charset="UTF-8">
        <title></title>
    </head>
    <body>
    </body>
    <script type="text/javascript">
        var xhr = new XMLHttpRequest();
        xhr.open('get','http://127.0.0.1:83/test/0513/cross_domain/jsonp.php',true);
        xhr.send();
        xhr.onreadystatechange = function () {
            if (xhr.readyState == 4 && xhr.status == 200) {
                var data = xhr.responseText;
                console.log(data);
                console.log(typeof data); 
                data = JSON.parse(data);
                console.log(data);
                console.log(typeof data);
            }
        }
    </script>
</html>

上面是用http协议请求的代码,浏览器显示如图:
这里写图片描述

前端代码2

<!DOCTYPE html>
<html>
    <head>
        <meta charset="UTF-8">
        <title></title>
    </head>
    <body>

    </body>

    <script type="text/javascript">
        function ojson(data) {
            console.log(data);
        }
    </script>
    <script src="http://127.0.0.1:83/test/0513/cross_domain/jsonp.php?callback=ojson" type="text/javascript" charset="utf-8"></script>
</html>

这次用的是file协议,浏览器显示如图:
这里写图片描述
请求同一个api接口,file协议也能够获取到数据,只是要预定义一个全局的回调函数,并将函数名作为参数传给服务端。而服务端的代码则需要通过判断是否有回调来执行对应的操作。服务端返回的是一个回调函数的执行。

//isset可以用来判断是否为跨域
if (isset($_REQUEST['callback'])) {
    $callback = $_REQUEST['callback'];
    $str = json_encode($data);
    //输出用获取的回调函数操作的数据
    echo $callback.'('.$str.')';
} else {
    echo json_encode($data);
}
html通过 ajax jsonp请求接收和传送数据
11-23
**AJAXJSONP请求的实现过程** 1. **AJAX**: 通常,AJAX请求受到同源策略限制。为实现,我们可以使用CORS(Cross-Origin Resource Sharing)机制。服务器需要在响应头中添加`Access-Control-Allow-...
jsonp请求实现示例
10-20
JSONP(JSON with Padding)是一种解决请求的方法,主要用于解决不同之间因浏览器同源策略限制而无法进行AJAX请求的问题。在AJAX请求中,浏览器的同源策略限制了与当前页面不同的服务器进行数据交互,而...
JSONP请求
YUKIDDDD的博客
07-29 914
JSONP请求1.JSONP原理2.漏洞原理3. 漏洞危害4.利用前提5.漏洞挖掘6.漏洞利用1.基础函数调用2.对象方法调用3.回调函数是动态的4.基本数据获取7.绕过方式8.修复防范 1.JSONP原理 JSONP 是 JSON with padding(填充式 JSON 或参数式 JSON)的简写。 JSONP是一种利用HTML中元素标签,远程调用json文件来实现数据传递的技术,它的特点是可以读取数据。请求动态生成的JS脚本同时带一个callback函数名作为参数。服务端收到请求后,动态生
jquery ajax jsonp 请求
Hello World
06-06 368
【代码】jquery ajax jsonp 请求
jsonp请求用法
Blateyang的博客
11-22 346
引言 熟悉web的朋友应该都知道由于浏览器的同源策略,一个网站是不能直接使用另一个网站的数据的,但有时我们又需要在网页中请求另一网站的数据,这就需要用到请求的技术。 笔者知道的几种常用请求技术包括资源共享(CORS)和JSONP资源共享的思路是在请求中添加Origin头指明请求来源,而服务器在响应中添加“Acess-Control-Allow-Origin”字段,指明允许访问的非同源网站,详细原理可以参考请求及其解决方案。JSONP是JSON with padding的简写,其
JSONP请求原理解析
shao_xuan_的博客
12-15 1321
JSONP请求原理解析什么是同源策略什么是JSONP 什么是同源策略 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。 简单来讲,名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面。当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。 什么是JSONP JSONP是J
jQuery jsonp请求
王子老师
02-17 568
海压竹枝低复举,风吹山角晖还明 如何使用 script src="" 来完成一个请求: 当点击"获取数据"的按钮时,添加一个 script 标签,用于发起请求;注意看请求地址后面带了一个callback=showData的参数; showData即是回调函数名称,传到后台,用于包裹数据。数据返回到前端后,就是showData(result)的形式,因为是script脚本,所以自动调用showData函数,而result就是showData的参数。 至此,我们算是把数据请求回来了,但是比较.
JSONP访问漏洞
zj2084的博客
04-02 917
当在list-json.html页面中,直接构造以下Payload,则会导致弹窗如果payload是这样的话,也会给我们进行弹窗,说明存在XSS漏洞基于这个XSS漏洞,我们就可以去利用这个漏洞我们可以试着去让它弹出当前页面的Cookie,成功弹出Cookie我们也可以让它做一个登录,成功登录然后我们再通过XSS漏洞将Sesssion ID弹出来,说明它并没有对当前的Cookie设置http-only的属性,让我们的JavaScript是可以读取到的。
jsonp请求(PHP后端方式)
LoveYouZsw的博客
04-30 423
一、什么是? 前言 在了解什么是之前,我们先需要知道为什么? 为什么?这就涉及到绕不开的一个话题——同源策略。 为了web安全,同源指的是协议、端口号、名三者皆要相同的情况下,访问是不受限制的,比如说,你拿着你家的钥匙,在你家任何一间屋子都是可以来回开门走动的,而当你拿着自己家的钥匙去隔壁老王家是,发现连人家的大门都打不开,这就是同源策略。同源策略最初的目的为了保证用户信息的安全,防止恶意的网站窃取数据,但是对于类似数据量大、访问并发高的淘宝、京东,显然一个名或服务器是扛不住的,这个时候
JSONP 请求原理解析与实践
最新发布
m0_73941339的博客
06-15 706
JSONP(JSON with Padding)是一种数据交互技术,虽然它不是真正的 AJAX 请求,但可以实现类似的局部刷新效果。本文将深入解析 JSONP 的原理,并通过完整的 Java 后端和 JavaScript 前端示例演示其工作流程。
JSONP处理请求
大风起兮云飞扬
11-19 654
由于浏览器存在安全策略,所以当访问的请求中的协议、名、端口其中一个与本站不同时就会形成,这里介绍一种比较简单的方案——jsonp
js中jsonp请求
mm_hello11的博客
11-05 6852
1、理解jsonp 什么是? 简单的来说,出于安全方面的考虑,页面中的JavaScript无法访问其他服务器上的数据,即“同源策略”。而就是通过某些手段来绕过同源策略限制,实现不同服务器之间通信的效果。 具体策略限制情况可看下表: URL 说明 允许通信 http://www.a.com/a.js http://www.a.com/b.js 同一名下 ...
轻松搞定jQuery+JSONP请求的解决方案
10-18
需要注意的是,虽然JSONP提供了一种灵活的请求解决方案,但它也有一些局限性和安全风险。例如,JSONP允许执行任意的JavaScript代码,如果服务器端的输出没有经过严格验证和清洗,可能会导致站脚本攻击(XSS)...
封装兼容的Ajax请求
Ted_Rui的博客
05-17 1233
XMLHttpRequest对象XMLHttpRequest 对象提供了对 HTTP 协议的完全的访问,包括做出 POST 和 HEAD 请求以及普通的 GET 请求的能力。 XMLHttpRequest 对象是Ajax请求的基础。AJAX请求var xhr = new XMLHttpRequest();xhr.open('get/post', 'url地址', 'ture/false'); //
JavaScript中的面向对象(一)
Ted_Rui的博客
05-13 948
面向对象编程面向对象 原型链 原型链搜索机制 构造函数、原型对象和实例的关系 javascript中的面向对象 面向过程和面向对象编程
JSX语法糖
Ted_Rui的博客
07-31 801
语法糖:语法糖(Syntactic sugar),是由Peter J. Landin(和图灵一样的天才人物,是他最先发现了Lambda演算,由此而创立了函数式编程)创造的一个词语,它意指那些没有给计算机语言添加新功能,而只是对人类来说更“甜蜜”的语法。语法糖往往给程序员提供了更实用的编码方式,有益于更好的编码风格,更易读。不过其并没有给语言添加什么新东西。JSX语法糖JSX语法,像是在Javascr
JavaScript中的BOM
Ted_Rui的博客
05-07 530
BOM的概念BOM 是Browser Object Model(浏览器对象模型)的缩写,提供与浏览器窗口进行交互的对象。 JavaScript语法的标准化组织是ECMA,DOM的标准化组织是W3C, 而W3C对BOM没有标准的定义, 所以这也引发了各种浏览器不兼容的情况, 由于BOM 缺少规范,每个浏览器提供商又按照自己想法去扩展它,那么浏览器共有对象就成了事实的标准。 BOM由一系列相关的
es6中的class
Ted_Rui的博客
07-31 498
js中的类之前在javascript没有类这样的概念,而是构造函数来定义某一种有着相似属性的“类”。然后通过new 运算符来获得该”类”的实例,通过原型链来继承它的父类的属性和方法。//构造函数 function Point(x, y) { this.x = x; this.y = y; }Point.prototype.toString = function () { return '
jsonp 请求
04-18
### JSONP 请求实现方法及原理 JSONP(JSON with Padding)是一种通过 `<script>` 标签的 `src` 属性来绕过浏览器同源策略限制的方法,从而实现在不同名之间传输数据的功能。其核心思想是利用 `<script>` 标签可以加载外部资源且不受同源策略约束这一特性。 #### 原理说明 当客户端发起一个请求时,由于 XMLHttpRequest 受限于同源策略无法直接访问其他上的资源,而 `<script>` 标签则可以通过设置 `src` 属性自由加载来自任何名下的 JavaScript 文件。因此,在 JSONP 中,客户端会在页面中动态创建一个 `<script>` 标签,并将其指向目标服务器的一个 URL 地址,同时附加一个回调函数名称作为查询参数[^1]。服务器接收到此请求后,会返回一段以指定回调函数包裹的数据形式的 JavaScript 代码。这段代码会被立即执行,进而调用预先定义好的回调函数并将所需数据传递进去[^2]。 #### 实现过程详解 以下是具体的操作流程: 1. **客户端准备阶段** 客户端先定义好用于接收响应数据的全局回调函数。 ```javascript function handleResponse(data) { console.log('Received data:', data); } ``` 2. **构建并插入 script 元素** 动态生成一个新的 `<script>` 元素,设定其 `src` 属性为目标接口地址加上必要的查询字符串(通常包含 callback 参数),最后将该元素添加至 DOM 结构中的合适位置(如 body 的子节点列表末端)。 ```javascript var script = document.createElement('script'); script.src = 'https://example.com/api?callback=handleResponse'; document.body.appendChild(script); ``` 3. **服务端配合处理** 当服务器接获带有特定 callback 名称字段的 HTTP 请求之后,应该按照约定格式构造回应内容——即将实际业务逻辑所产生的结果序列化成合法 JSON 字符串后再嵌套进由前述 callback 所指示的那个函数体内形成最终输出文本流送回前端展示层面上去渲染呈现出来供后续操作使用[^4]。 ```javascript // Example server-side pseudo-code (Node.js/Express-like syntax) app.get('/api', (req, res) => { const data = { key: 'value' }; const jsonResponse = JSON.stringify(data); const callbackFunctionName = req.query.callback || 'jsonpCallback'; res.send(`${callbackFunctionName}(${jsonResponse})`); }); ``` 以上便是整个基于 JSONP 技术完成的一次典型交互全过程描述总结概述完毕如下所示[^3]。 ```javascript // Client Side Code Summary function jsonpRequest(url, callbackName){ let scriptTag=document.createElement("script"); window[callbackName]=function(responseData){console.log(responseData);delete window[callbackName];}; scriptTag.src=`${url}&callback=${callbackName}`; document.head.append(scriptTag); } ``` ### 注意事项 尽管 JSONP 提供了一种简单有效的解决方案来进行通信,但它也存在一些固有的缺陷需要注意: - **安全性隐患**: 因为它依赖注入任意第三方站点提供的脚本来运行环境当中所以可能存在恶意代码攻击风险; - **仅支持 GET 方法**: 不允许像常规 AJAX 那样灵活运用多种类型的 HTTP Method 如 POST PUT DELETE 等等[^2].
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值