ajax跨域jsonp使用以及安全性

最新推荐文章于 2022-12-18 16:40:11 发布
最新推荐文章于 2022-12-18 16:40:11 发布
阅读量791 收藏 4
点赞数
分类专栏: js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/phpLara/article/details/79915039
版权

使用jsonp跨域:
jsonp原理:通过创建一个 script 标签,将 src 设置为目标请求,插入到 dom 中,服务器接受该请求并返回数据,数据通常被包裹在回调钩子中
jsonp不支持POST方式;

//客户端
$.ajax({
            // url:'http://wenjunlin.xyz/api/v2/index',
            url:'http://bisheapi.cn/api/v2/index',
            type:'post',
            data:{
                'id':4,
                't':'wen'
            },
            dataType:'jsonp',
            jsonp: "jsonpcallback", //服务端用于接收callback调用的function名的参数
            crossDomain:true,
            success:function (data) {
                // data = JSON.parse(data);
                console.log(data)
            },
            error:function (XMLHttpRequest, textStatus, errorThrown) {
                // console.log(code);
                console.log('XMLHttpRequest.status: '+ XMLHttpRequest.status);
                console.log('XMLHttpRequest.readyState: '+ XMLHttpRequest.readyState);
                console.log('textStatus: '+ textStatus);
                console.log('errorThrown: '+errorThrown);
            }
        });

php服务端:

public function index(){
    $id = 1;
    $t = 't';

    $id = $_GET['id'];
    $t = $_GET['t'];
    $jsonp = $_GET['jsonpcallback'];//get接收jsonp自动生成的函数名

    $arr = array(
        'id' => $id,
        't' => $t
    );
    echo $jsonp.'('. json_encode($arr). ')'; //jsonp函数名包裹json数据
}

使用ajax也是可以进行跨域的,只不过需要在跨域的服务端设置一下Access-Control-Allow-Origin

//客户端
$.ajax({
            url:'http://bisheapi.cn/api/v2/indexshow',
            type:'get',
            data:{
                'id':4,
                't':'wen'
            },
            dataType:'json',
            success:function (data) {
                console.log(data)
            },
            error:function (XMLHttpRequest, textStatus, errorThrown) {
                console.log('XMLHttpRequest.status: '+ XMLHttpRequest.status);
                console.log('XMLHttpRequest.readyState: '+ XMLHttpRequest.readyState);
                console.log('textStatus: '+ textStatus);
                console.log('errorThrown: '+errorThrown);
            }
        });

服务端代码:

 public function show(){
        header("Access-Control-Allow-Origin: *");
        $id = 1;
        $t = 't';

        $arr = array(
            'id' => $id,
            't' => $t
        );
        echo json_encode($arr);
    }

与jsonp不一样,该方式可以使用get,post等方式访问。

jsonp安全性研究:https://blog.youkuaiyun.com/jian_xi/article/details/66474717

防止xss攻击案例如下:
客户端代码

$.ajax({
            // url:'http://wenjunlin.xyz/api/v2/index',
            url:'http://bisheapi.cn/api/v2/index',
            type:'post',
            data:{
                'id':4,
                't':'wen'
            },
            dataType:'jsonp',
            jsonp: "jsonpcallback", //服务端用于接收callback调用的function名的参数
            jsonpCallback:'alert(123)',//xss攻击
            crossDomain:true,
            success:function (data) {
                // data = JSON.parse(data);
                console.log(data)
            },
            error:function (XMLHttpRequest, textStatus, errorThrown) {
                // console.log(code);
                console.log('XMLHttpRequest.status: '+ XMLHttpRequest.status);
                console.log('XMLHttpRequest.readyState: '+ XMLHttpRequest.readyState);
                console.log('textStatus: '+ textStatus);
                console.log('errorThrown: '+errorThrown);
            }
        });

后台处理:

        $id = $_GET['id'];
        $t = $_GET['t'];
//        $callback = $_GET['jsonpcallback'];//get接收jsonp自动生成的函数名
        //更安全
        $callback = urlencode($_GET['jsonpcallback']);

        $arr = array(
            'id' => $id,
            't' => $t,
            'str' => "window[decodeURIComponent('{$callback}')]"
        );
//        echo $jsonp.'('. json_encode($arr). ')'; //jsonp函数名包裹json数据
        echo "window[decodeURIComponent('{$callback}')](".json_encode($arr).");";
AJAXJSONP
zuomengjia的博客
11-16 287
前言 本节讲解下利用JSONP实现百度智能搜索案例 需求: 输入框输入关键字同时,会利用AJAX不断跟后台进行交互,进而实现局部更新页面关键词功能,因为涉及,所以这里用JSONP方式解决 接口URL: https://sp0.baidu.com/5a1Fazu8AA54nxGko9WTAnF6hhy/?wd=&cb= 因为百度搜索接口不太稳定,接下来改用电商接口 淘宝商品搜索建议 ...
ajax jsonp传参
05-13
ajax jsonp传参,里面有源码,不过写在txt中了,很适合调用别人的接口
使用JSONP解决ajax
weixin_33749242的博客
01-08 234
在日常开发中,不免遇到的问题。在这里我们介绍使用Jsonp来解决ajax的问题 什么是? ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。简单的理解就是开发时当客户端所在的工程与服务端的ip不同或者端口不同时进行请求,就产生了,进而不能请求数据。 什么是JSONP? 官方的...
ajaxjsonp使用总结
weixin_30925411的博客
10-14 206
前言:ajaxjsonp可以与后台通信,获取数据和信息,但是又不用刷新整个页面,实现页面的局部刷新。 一、ajax 定义:一种发送http请求与后台进行异步通讯的技术。 原理:实例化xmlhttp对象,使用此对象与后台通信。 ajax的同源策略: ajax请求的页面或资源只能是同一个下面的资源,不能是其他的资源,这是在设计ajax时基于安全考虑。 ajax的方法: 1. $.aja...
JSONP - 从理论到实践
weixin_30363817的博客
06-30 178
同源策略 ajax之所以需要“”,罪魁祸首就是浏览器的同源策略。即,一个页面的ajax只能获取这个页面相同源或者相同的数据。 如何叫“同源”或者“同”呢?——协议、名、端口号都必须相同。例如: http://google.com和https://google.com不同,因为协议不同; http://localhost:8080和http://localhost:1...
ajax jsonp
专注于性能调优、安全、自动化
04-13 682
今天遇到一个ajax请求的问题,demo如下: 服务器端1代码: $.getJSON("http://192.168.95.155/1.php?callback=?",{format:"json"},function(data){alert(data.format);}); 服务器端2代码:
AJaxJsonp访问问题小结
10-23
使用JSONP时,需要注意安全性问题。由于JSONP的方式本质上是执行了一段从服务器端返回的JavaScript代码,如果服务器端被恶意攻击,有可能返回恶意代码,导致安全风险。因此,在使用JSONP时,我们需要确保请求的...
浅谈JQuery+ajax+jsonp 访问
10-22
本文将详细介绍JQuery、ajax以及jsonp访问的知识。 首先,jQuery作为一个广泛使用的JavaScript库,其提供的ajax方法极大地简化了HTTP通信操作。然而,当尝试通过ajax访问不同下的资源时,就会遇到限制...
Ajaxjsonp方式获取数据的简单实例
10-22
总结起来,通过上述知识点的讲解,我们可以了解到Ajaxjsonp方式是如何处理请求,以及它的工作原理和使用场景。JSONP提供了一种简便的解决数据交互的方法,尤其适用于那些不支持CORS(源资源共享)的老旧...
JSONPGET请求解决Ajax访问问题
12-03
前几天,工作上有一新需求,需要前端web页面异步调用后台的Webservice方法返回信息。...在JavaScript中,有一个很重要的安全性限制,被称为“Same- Origin Policy”(同源策略)。这一策略对于JavaSc
AJAX请求JSONP获取JSON数据的实例代码
10-20
- **缺点**:仅支持GET请求,没有错误处理机制,且安全性较低,因为服务端可以注入任意JavaScript代码。 5. **JSONP与CORS(Cross-Origin Resource Sharing)** CORS是现代浏览器提供的一个更安全、更灵活的...
ajaxjsonp
weixin_34270606的博客
02-11 103
jsonp jsonp原理 script便签可以,基于这个机制,可以在A的页面中定义jsonp函数,script标签返回这个函数的调用 如下代码所示A页面代码 <body> <div>正在获取数据……</div> <script>function jsonp(data) { document.querySelector(...
Ajax同源政策--学习
weixin_43482965的博客
04-02 620
一、Ajax请求限制 Ajax 只能向自己的服务器发送请求。比如现在有一个A网站、有一个B网站,A网站中的 HTML 文件只能向A网站服务器中发送 Ajax 请求,B网站中的 HTML 文件只能向 B 网站中发送 Ajax 请求,但是 A 网站是不能向 B 网站发送 Ajax请求的,同理,B 网站也不能向 A 网站发送 Ajax请求。 二、什么是同源 如果两个页面拥有相同的协议、名和端口,那么这...
ajax?(jsonp
ICE39的专栏
10-30 1031
网上很多地方都有描述jsonp的,但是
AjaxJSONP
wizard__hao的博客
03-16 958
JSONP 了解同源策略和 同源策略 1.什么是同源 如果两个页面的协议,名和端口都相同,则两个页面具有相同的源 判断下表给出的URL地址与http://www.test.com/index.html页面是否同源 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yaJj9q4N-1647429113674)(Ajax笔记.assets/同源的判断.png)] 2.什么是同源策略 同源策略是浏览器提供的一个安全功能。 MDN官方给定的概念:同源策略限制了从同一个源加载
ajaxjsonp处理,ajax 处理 jsonp
weixin_39849070的博客
08-06 378
前段页面 jQuery(document).ready(function(){$.ajax({type: "get",async: false,url: 'http://shanghai.51fmzg.com/findNoticeMessage.htm',dataType: "jsonp",jsonp: "callback",jsonpCallback:"flightHandler",s...
ajaxjsonp
weixin_43690442的博客
06-13 219
ajax的参数为 1、url 请求地址 2、type 请求方式,默认是’GET’,常用的还有’POST’ 3、dataType 设置返回的数据格式,常用的是’json’格式,也可以设置为’html’ 4、data 设置发送给服务器的数据 5、success 设置请求成功后的回调函数 6、error 设置请求失败后的回调函数 7、async 设置是否异步,默认值是’true’,表示异步 语法为 $....
使用Ajax发起JSONP请求
qq_43808342的博客
12-18 2189
对基于Ajax发起的JSONP请求做了一个简单的总结
Ajax请求——JSONP使用
weixin_30509393的博客
07-19 109
一、什么叫   当然是别的服务器 (说白点就是去别服务器上取东西)只要协议、名、端口有任何一个不同,都被当作是不同的。   总而言之,同源策略规定,浏览器的ajax只能访问跟它的HTML页面同源(相同名或IP)的资源。 二、解决方案   服务端解决方案: respons.setHeader("Access-Control-Allow-Origin", "*"); ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值