JSONP

最新推荐文章于 2025-06-26 16:56:30 发布
最新推荐文章于 2025-06-26 16:56:30 发布
阅读量50 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/jiujiaoyangkang/p/8301124.html

前端传一个回调函数,后端接收回调函数是并把数据当做参数一起返回,实际的执行是通过script标签起作用的(script标签会自动下载资源后并当做JS执行),所以控制执行可以通过动态创建script标签的方式。

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>
    <button id="btn1">请求</button>
    <!-- <script>
    function test(data) {
        alert(data.name);
    }
    </script>
    <script src="http://127.0.0.1:8080/jsonp?callback=test"></script> -->
    <script>
    function addScriptTag(src) {
        var script = document.createElement("script");
        script.setAttribute('type', 'text/javascript');
        script.src = src;
        document.body.appendChild(script);
    }
    var oBtn = document.querySelector("#btn1");
    oBtn.onclick = function() {
        addScriptTag("http://127.0.0.1:8080/jsonp?callback=hello")
    };
    function hello(data) {
        console.log(data);
    }
    </script>
</body>
</html>

server.js

var http = require('http');
var url = require('url');

var querystring = require('querystring');

var server = http.createServer();

server.on('request', function (req, res) {
    var urlPath = url.parse(req.url).pathname;
    var qs = querystring.parse(req.url.split('?')[1]);
    // http://localhost:8080/jsonp?callback=test // { callback: 'test' }
    if (urlPath === "/jsonp" && qs.callback) {
        res.writeHead(200, {
            'Content-Type': 'text/plain;charset=utf-8'
        });
        var data = {
            "name": "Monkey"
        };
        data = JSON.stringify(data);

        var callback = qs.callback + '(' + data + ');';

        res.end(callback);
    } else {
        res.writeHead(200, {
            'Content-Type': 'text/html;charset=utf-8'
        });
        res.end('Hello World\n');
    }
});

server.listen('8080');

 

CORS:当使用XMLHttpRequest发送请求时,浏览器发现该请求不符合同源策略,会自动给该请求加一个请求头:Origin:当前地址,后台进行一系列处理,如果确定接收请求就在返回结果中加入一个响应头:Access-Control-Allow-Origin:被允许地址...所以CORS的表象是让你觉得和同源的AJAX请求没什么区别,代码完全一样,都是后端进行的处理,服务器设置接收谁就是谁。

 

不跨域这样获取当前页面中iframe中的内容:window.frames[0].document完全没有问题。

跨域iframe:当前页面地址a.blog.com,iframe连接的地址b.blog.com,可以采用降域的方式:document.domain="blog.com",注意这句话要在当前页面和iframe链入的页面中都要写,两方都进行降域最后才能同域。

主域(一级域名)相同,子域名不同,可通过降域的方式,例如:a.blog.com和b.blog.com,缺点是主域名相同才能使用此方法。

 

跨域iframe:虽然不能window.frames[0].document,但是可以window.frames[0].postMessage(str, "*"),*号代表所有域,此页面再window.addEventListener('message', function(e) { e.data }),这里的e.data就是发送的str

ifame连接的页面的操作:window.addEventListener('message', function(e) { e.data }),window.parent.postMessage(str, "*")

 

如果是不同域名,可通过PostMessage的方法。

转载于:https://www.cnblogs.com/jiujiaoyangkang/p/8301124.html

JSONP原理及简单实现
10-22
JSONP(JSON with Padding)是一种解决跨域请求限制的方法。在Web2.0时代,AJAX是前端开发中不可或缺的技术,然而出于安全考虑,浏览器对跨域请求进行了限制。在同源策略的限制下,浏览器只允许与自己域内的服务器...
jsonp
01-08
JSONP,全称为“JSON with Padding”,是一种在JavaScript中实现跨域数据交互的常见方法。由于浏览器的安全策略——同源策略,JavaScript通常被限制只能访问与当前页面同源(同协议、同域名、同端口)的资源。而...
说说JSONP
yjclsx的博客
07-31 1029
原文地址:http://www.cnblogs.com/dowinning/archive/2012/04/19/json-jsonp-jQuery.html 一、前言: 说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串、XML、JSON等等来描述,跨域可以通过服务器端代理(如...
JsonP
欢迎来到我的博客,一起学习Java!
10-11 1035
什么是 JsonP Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 为什么我们从不同的域(网站)访问数据需要一个特殊的技术(JSONP )呢?这是因为同源策略。 什么是跨域? 跨域是指一个域(网站)下的文档或脚本试图去请求另一个域(网站)下的资源。 什么是同源策略? ...
jsonp的封装
太阳与星辰的博客
03-21 320
jsonp的封装
JSONP 教程
likuoelie的博客
06-26 633
JSONP不是一门编程语言,而是一种“使用模式”,研究表明它利用了浏览器的同源策略限制,通过<script>标签的src属性可以跨域请求的特点来实现数据获取。浏览器加载这个<script>标签时,会执行返回的JavaScript代码,从而调用客户端定义的callbackFunction,将数据传递给客户端。安全建议:仅使用可信的API,避免从不可信来源获取JSONP数据。研究建议JSONP仅用于公开API,数据不涉及隐私,因其可能面临XSS攻击风险,且仅支持GET请求,不适合需要POST的场景。
Jsonp劫持
Sentiment的博客
07-25 1197
我们知道,在JSONP跨域中,我们是可以传入一个函数名的参数如callback,然后JSONP端点会根据我们的传参动态生成JSONP数据响应回来。如果JSONP端点对于用于传入的函数名参数callback处理不当,如未正确设置响应包的Content-Type、未对用户输入参数进行有效过滤或转义时,就会导致XSS漏洞的产生。jsonp.php} else {请求后触发xss,此时发现php默认的content-type为text/html。
JSONP 漏洞
ttyy1112的专栏
03-24 453
是一种用于跨域数据请求的技术,通常用于绕过浏览器的同源策略(Same-Origin Policy)。它通过动态创建<script>标签来加载外部资源,并利用回调函数处理返回的数据。JSONP 是一种过时的跨域技术,存在较大的安全风险。建议优先使用 CORS 等更安全的替代方案。如果必须使用 JSONP,务必严格验证输入、限制敏感数据,并采取其他安全措施来降低风险。
JSONP跨域访问漏洞
zj2084的博客
04-02 796
当在list-json.html页面中,直接构造以下Payload,则会导致弹窗如果payload是这样的话,也会给我们进行弹窗,说明存在XSS漏洞基于这个XSS漏洞,我们就可以去利用这个漏洞我们可以试着去让它弹出当前页面的Cookie,成功弹出Cookie我们也可以让它做一个登录,成功登录然后我们再通过XSS漏洞将Sesssion ID弹出来,说明它并没有对当前的Cookie设置http-only的属性,让我们的JavaScript是可以读取到的。
java中的JSONP使用实例详解
10-19
JSONP(JSON with Padding)是一种跨域数据交互协议,它利用了`<script>`标签可以跨域加载资源的特性来实现浏览器与服务器之间的数据通信。在JavaScript中,由于同源策略的限制,Ajax通常无法进行跨域请求,而JSONP...
VUE2.0中Jsonp的使用方法
10-18
在VUE2.0中使用JSONP是一种跨域数据请求的技术,它允许在不同的源之间共享数据,尤其是在浏览器端发起跨域请求时,JSONP(JSON with Padding)可以绕过浏览器同源策略的限制。这种技术的核心在于动态创建script元素...
Vue项目中使用jsonp抓取跨域数据的方法
10-16
在终端中运行`npm install jsonp`,这将安装一个名为`jsonp`的npm包,该包提供了JSONP的实现。 接下来,我们创建一个新的`jsonp.js`文件,在其中封装一个名为`jsonp`的函数。这个函数接收三个参数:`url`、`data`和...
root-minuit-6.30.08-1.el8.tar.gz
08-17
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
rpminspect-data-generic-2.0-1.el8.tar.gz
08-17
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
系统镜像(Incomplete)
08-17
系统镜像(Incomplete)
vue+SpringBoot+ Vue团子烘焙销售服务系统毕业论文.docx
最新发布
08-17
vue+SpringBoot+ Vue团子烘焙销售服务系统毕业论文.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值