json相信大家都用的多,jsonp我就一直沒有機會用到,但也經常看到,只知道是“用來跨域的”,一直不知道具體是個什麼東西。今天總算搞明白了。下面一步步來搞清楚jsonp是個什麼玩意。
同源策略
首先基於安全的原因,瀏覽器是存在同源策略這個機制的,同源策略阻止從一個源加載的文檔或腳本獲取或設置另一個源加載的文檔的屬性。看起來不知道什麼意思,實踐一下就知道了。
1.隨便建兩個網頁
一個端口是2698,一個2701,按照定義它們是不同源的。
2.用jQuery發起不同源的請求
在2698端口的網頁上添加一個按鈕,Click事件隨便發起兩個向端口爲2701域的請求。
$("#getOtherDomainThings").click(function () { $.get("http://localhost:2701/Scripts/jquery-1.4.4.min.js", function (data) { console.log(data) }) $.get("http://localhost:2701/home/index", function (data) { console.log(data) }) })
根據同源策略,很明顯會悲劇了。瀏覽器會阻止,根本不會發起這個請求。(not allowed by Access-Control-Allow-Origin)
OK,原來jsonp是要解決這個問題的。
script標籤的跨域能力
不知道大家知不知道CDN這個東西,例如微軟的CDN,使用它,我們的網頁可以不提供jQuery,由微軟的網站幫我們提供:
<script src="http://ajax.aspnetcdn.com/ajax/jquery/jquery-1.8.0.js" type="text/javascript"></script>
回到我們的2698端口的網頁,上面我們在Click事件裏有一個對2701端口域的jQuery文件的請求,這次使用script標籤來請求。
<script type="text/javascript" src="http://localhost:2701/Scripts/jquery-1.4.4.min.js"></script>
當然,200,OK了
同樣是端口2698的網頁發起對2701域的請求,放在script裏設置scr屬性的OK了,另一個方式就悲劇。利用script的跨域能力,這就是jsonp的基礎。
利用script獲取不同源的json
既然它叫jsonp,很明顯目的還是json,而且是跨域獲取。根據上面的分析,很容易想到:利用js構造一個script標籤,把json的url賦給script的scr屬性,把這個script插入到dom裏,讓瀏覽器去獲取。實踐:
function CreateScript(src) { $("<script><//script>").attr("src", src).appendTo("body") }
添加一個按鈕事件來測試一下:
$("#getJsonByHand").click(function () { CreateScript("http://localhost:2701/home/somejson") })
首先,第一個瀏覽器,http://localhost:2701/home/somejson這個Url的確是存在一個json的,而且在2698網頁上用script標籤來請求這個2701這個Url也是200OK的,但是最下面報js語法錯誤了。原來用script標籤加載完後,會立即把響應當js去執行,很明顯{"Email":"[email protected]","Remark":"我來自遙遠的東方"}不是合法的js語句。
利用script獲取異域的jsonp
顯然,把上面的json放到一個回調方法裏是最簡單的方法。例如,變成這樣:
![image_thumb[3]](http://images.cnblogs.com/cnblogs_com/lemontea/201212/201212110108065963.png "image_thumb[3]")
如果存在jsonpcallback這個方法,那麼jsonpcallback({"Email":"[email protected]","Remark":"我來自遙遠的東方"})就是合法的js語句。
由於服務器不知道客戶端的回調是什麼,不可能hard code成jsonpcallback,所以就帶一個QueryString讓客戶端告訴服務端,回調方法是什麼,當然,QueryString的key要遵從服務端的約定,上面的是”callback“。
添加回調函數:
function jsonpcallback(json) {
console.log(json)
}
把前面的方法稍微改改參數:
$("#getJsonpByHand").click(function () { CreateScript("http://localhost:2701/home/somejsonp?callback=jsonpcallback") })
![image_thumb[8]](http://images.cnblogs.com/cnblogs_com/lemontea/201212/201212110108144789.png "image_thumb[8]")
200OK,服務器返回jsonpcallback({"Email":"[email protected]","Remark":"我來自遙遠的東方"}),我們也寫了jsonpcallback方法,當然會執行。OK順利獲得了json。沒錯,到這裏就是jsonp的全部。
利用jQuery獲取jsonp
上面的方式中,又要插入script標籤,又要定義一個回調,略顯麻煩,利用jQuery可以直接得到想要的json數據,同樣是上面的jsonp:
$("#getJsonpByJquery").click(function () { $.ajax({ url: 'http://localhost:2701/home/somejsonp', dataType: "jsonp", jsonp: "callback", success: function (data) { console.log(data) } }) })
得到的結果跟上面類似。
總結
一句話就是利用script標籤繞過同源策略,獲得一個類似這樣的數據,jsonpcallback是頁面存在的回調方法,參數就是想得到的json。
jsonpcallback({"Email":"[email protected]","Remark":"我來自遙遠的東方"})
到這裏不免產生一個疑惑,同源策略是基於安全的原因建立的,發起不同源的請求是被認爲不安全的,不可以接受的,但爲什麼這樣繞一個小圈子就可以接受呢?這樣就安全了嗎?感覺就像洗澡時怕被人看見,把門關上,但側面的大窗戶卻是打開的,這樣做有意義嗎?元芳你怎麼看?
源碼參考
ADD 原生js:
<button id="btn">click</button>
<script type="text/javascript">
function $(str){
return document.getElementById(str)
}
function CreateScript(src) {
var Scrip=document.createElement('script');
Scrip.src=src;
document.body.appendChild(Scrip);
}
function jsonpcallback(json) {
console.log(json);//Object { email="中國", email2="中國222"}
}
$('btn').οnclick=function(){
CreateScript("http://localhost:51335/somejson?callback=jsonpcallback")
}
</script>
一些評論:
- 雖然都是js在操作跨域,但是你混淆了跨域的主體,ajax的跨域主體不是JS本身,而是瀏覽器的XMLHttpRequest對象;同樣script標籤的跨域主體也不是JS,而是瀏覽器標籤內容引入功能。XMLHttpRequest可以請求任意文件內容,相對來說更危險,因爲被請求內容如果跨域會存在極大的不確定性,因爲被請求的地址很可能不是JS文本;而script標籤引入的內容,不管是不是JS文本都是被強制當成JS腳本來執行,鑑於JS腳本的瀏覽器限制本身還算安全可控,所以跨域一般不存在太大問題。 其實說跨域都是JS在操作,但其實跟JS沒有任何關係,JS本身並沒有任何跨域能力,都是瀏覽器的安全限制在起作用。
- jsonp是協議,只能用於合作方,對於數據傳遞比XML格式更節省更高效。
- 有最後的疑問說明樓主還是沒有看透問題,jsonp是需要服務端配合返回回調函數名(也就是說服務端授權允許這樣的請求,當然是安全的),而ajax請求不需要服務端做特別設置只要能取到就能對數據進行任何操作。
- 關於同源策略的問題,我覺得其實這個是爲了防止在腳本中請求其他網頁數據的時候無意把本網站的cookie(裏面可能包括驗證信息)發過去了,本來並不是爲了防止腳本訪問其他網頁的數據。這樣繞了一個彎子之後,就不會無意發過去了,只可能有意發過去。
