43、前端与后端开发：动态脚本、安全风险及框架应用

前端与后端开发：动态脚本、安全风险及框架应用

1. 动态脚本标签与JSONP

在Web开发中， <script> 标签本身可能不会直接产生效果，但我们可以借助可编程的HTTP客户端（如 XMLHttpRequest ，或者早期示例中的Ruby客户端）来获取其内容，并将其解析为数据。例如：

{"ResultSet":{"totalResultsAvailable":"27170",...}}

以往的示例中，JSON with Padding（JoD）的脚本标签通常是硬编码的，这意味着Web服务资源的URI是固定的。如果用户想查看小企鹅的图片而不是小象的图片，就无法实现。

不过，JavaScript允许我们向表示当前HTML页面的DOM对象中添加新标签， <script> 标签也不例外。我们可以使用JavaScript动态编写一个定制的 <script> 标签，并让浏览器在处理该脚本时加载其 src 属性中指定的URI。即使 src URI指向外部域名，浏览器也允许这样做。这就意味着我们可以使用JavaScript向任何提供更多JavaScript代码的URI发送请求并运行这些代码。

然而，这种方法存在诸多问题。从安全角度来看，它比使用 XMLHttpRequest 从外部站点获取数据更糟糕。 XMLHttpReq