Что такое JSONP и почему он был создан?

Question

Что такое JSONP и почему он был создан?

1884

Я понимаю JSON, но не JSONP. Документ Wikipedia на JSON является (был) лучшим результатом поиска для JSONP. В нем говорится следующее:

JSONP или "JSON с дополнением" - это расширение JSON, в котором префикс указан как входной аргумент самого вызова.

А? Какой звонок? Это не имеет никакого смысла для меня. JSON - это формат данных. Нет вызова.

второй результат поиска от какого-то парня по имени Remy, который пишет об JSONP:

JSONP - это инъекция тега script, передающая ответ от сервера в указанную пользователем функцию.

Я могу понять это, но это все еще не имеет никакого смысла.

Итак, что такое JSONP? Почему он был создан (какая проблема его решает)? И зачем мне это использовать?

Добавление. Я только что создал новую страницу для JSONP в Википедии; теперь у него есть четкое и подробное описание JSONP на основе ответа jvenema.

Cheeso 14 янв. 2010, в 21:23

Источник

55

Скаффман, могу ли я считать, что из твоего взгляда из глубины души ты тот, кто удалил совершенно разумные вопросы из Википедии? Без добавления чего-либо или улучшения? Как это «вандализм» задавать вопрос. Sheesh. И да, в этот самый момент я собираюсь улучшить страницу википедии, предоставив информацию, предоставленную jvenema.
Cheeso 14 янв. 2010, в 21:21
19

Для записи НЕ используйте JSONP, если вы не доверяете серверу, на котором говорите на 100%. Если это скомпрометировано, ваша веб-страница будет скомпрометирована.
ninjagecko 27 янв. 2012, в 20:56
6

Также обратите внимание, что JSONP может быть взломан, если он не реализован правильно.
Pacerier 29 март 2015, в 07:20
3

Я хотел бы отдать должное автору JSONP, который изложил философию, стоящую за этим: архив Боба Ипполито на JSONP . Он представляет JSONP как «новую методологию, независимую от технологии, для метода тегов сценария для междоменной выборки данных».
harshvchawla 10 фев. 2017, в 06:05
11

Почему этот вопрос помечен как дубликат, если вопрос, который является «дубликатом», был задан через 10 месяцев после этого?
jvenema 31 авг. 2017, в 14:07

Показать ещё 3 комментария

Теги:

javascript

json

jsonp

terminology

8 ответов

687

JSONP - действительно простой трюк для преодоления той же политики домена XMLHttpRequest. (Как вы знаете, нельзя отправить запрос AJAX (XMLHttpRequest) в другой домен.)

Итак - вместо использования XMLHttpRequest мы должны использовать теги HTML script, те, которые вы обычно используете для загрузки js файлов, чтобы js мог получать данные из другого домена. Звучит странно?

Вещь - получается script теги могут использоваться по типу, подобному XMLHttpRequest! Проверьте это:

script = document.createElement('script');
script.type = 'text/javascript';
script.src = 'http://www.someWebApiServer.com/some-data';

В итоге вы получите сегмент script, который выглядит следующим образом после загрузки данных:

<script>
{['some string 1', 'some data', 'whatever data']}
</script>

Однако это немного неудобно, потому что мы должны получить этот массив из тега script. Поэтому создатели JSONP решили, что это будет работать лучше (и это так):

script = document.createElement('script');
script.type = 'text/javascript';
script.src = 'http://www.someWebApiServer.com/some-data?callback=my_callback';

Обратите внимание на функцию my_callback. Итак - когда сервер JSONP получает ваш запрос и находит параметр обратного вызова - вместо возврата простого массива js он возвращает это:

my_callback({['some string 1', 'some data', 'whatever data']});

Посмотрите, где прибыль: теперь мы получаем автоматический обратный вызов (my_callback), который будет запущен после получения данных.
Это все, что нужно знать о JSONP: это обратный вызов и теги script.

ПРИМЕЧАНИЕ. Это простые примеры использования JSONP, это не готовые сценарии производства.

Основной пример JavaScript (простой канал Twitter с использованием JSONP)

<html>
    <head>
    </head>
    <body>
        <div id = 'twitterFeed'></div>
        <script>
        function myCallback(dataWeGotViaJsonp){
            var text = '';
            var len = dataWeGotViaJsonp.length;
            for(var i=0;i<len;i++){
                twitterEntry = dataWeGotViaJsonp[i];
                text += '<p><img src = "' + twitterEntry.user.profile_image_url_https +'"/>' + twitterEntry['text'] + '</p>'
            }
            document.getElementById('twitterFeed').innerHTML = text;
        }
        </script>
        <script type="text/javascript" src="http://twitter.com/status/user_timeline/padraicb.json?count=10&callback=myCallback"></script>
    </body>
</html>

Основной пример jQuery (простой канал Twitter с использованием JSONP)

<html>
    <head>
        <script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.6.2/jquery.min.js"></script>
        <script>
            $(document).ready(function(){
                $.ajax({
                    url: 'http://twitter.com/status/user_timeline/padraicb.json?count=10',
                    dataType: 'jsonp',
                    success: function(dataWeGotViaJsonp){
                        var text = '';
                        var len = dataWeGotViaJsonp.length;
                        for(var i=0;i<len;i++){
                            twitterEntry = dataWeGotViaJsonp[i];
                            text += '<p><img src = "' + twitterEntry.user.profile_image_url_https +'"/>' + twitterEntry['text'] + '</p>'
                        }
                        $('#twitterFeed').html(text);
                    }
                });
            })
        </script>
    </head>
    <body>
        <div id = 'twitterFeed'></div>
    </body>
</html>

JSONP означает JSON с Padding. (очень плохо названная техника, так как она действительно не имеет ничего общего с тем, что большинство людей будет воспринимать как "заполнение".)

ThatGuy 29 июль 2011, в 22:22

33

Спасибо за объяснение тега сценария. Я не смог понять, как JSONP обошел политику междоменной безопасности. После объяснения я чувствую себя немного глупо, чтобы упустить момент ...
Eduard 02 авг. 2012, в 07:35
13

Это очень хороший дополнительный ответ на ответ jvenema - я не понимал, почему обратный вызов был необходим, пока вы не указали, что в противном случае к данным json придется обращаться через элемент script.
Matt 09 март 2014, в 01:26
0

@ravisoni, как ie6 загружает скрипты? ACTIVEX?
FutuToad 04 авг. 2014, в 12:50
4

Спасибо за такое ясное объяснение. Я хочу, чтобы мои учебники для колледжа были написаны такими людьми, как ты :)
hashbrown 21 нояб. 2014, в 02:50
0

Привет ThatGuy, ваши ответы действительно полезны для меня, большое спасибо, но у меня есть только одно сомнение, в примере jQuery вы снова используете ajax-метод, который внутренне вызывает XMLHttpRequest, который снова будет вызывать проблемы между доменами, это правильно?
Siva 15 дек. 2014, в 08:24
1

Хорошая экспликация, а не предыдущая. Конечно, ваш отрывок "те, которые вы обычно используете для загрузки файлов js, чтобы js мог получить данные из другого домена. Звучит странно?" это также сенсационное сообщение для меня. Пример кода в очень выдающемся.
SIslam 24 июль 2015, в 12:56
0

Отличное объяснение, но когда я попробовал первый пример, я получил эту ошибку: «Не удалось загрузить ресурс: сервер ответил со статусом 404 (ОК)». Как я могу обойти это?
Humoyun 16 нояб. 2015, в 05:17
0

Это было действительно полезно. Кроме того, как, черт возьми, я настраиваю заголовок Accept, чтобы сообщить стороннему серверу, что ответить. Кажется невозможным установить заголовки при выполнении типа данных JSON.
Kirby 29 дек. 2017, в 18:31
0

отступы не должны быть буквальными. это своего рода метафора. так что это может означать «JSON с некоторыми пробелами». лол
marvinIsSacul 31 дек. 2018, в 20:04

Показать ещё 7 комментариев

39

JSONP работает, создавая элемент "script" (либо в разметке HTML, либо вставляется в DOM через JavaScript), который запрашивает местоположение удаленной службы данных. Ответ - это javascript, загруженный в ваш браузер с именем предопределенной функции вместе с передаваемым параметром, который запрашивает данные JSON. Когда выполняется script, функция вызывается вместе с данными JSON, позволяя запрашивающей странице получать и обрабатывать данные.

Для дальнейшего чтения: https://blogs.sap.com/2013/07/15/secret-behind-jsonp/

фрагмент кода на стороне клиента

    <!DOCTYPE html>
    <html lang="en">
    <head>
     <title>AvLabz - CORS : The Secrets Behind JSONP </title>
     <meta charset="UTF-8" />
    </head>
    <body>
      <input type="text" id="username" placeholder="Enter Your Name"/>
      <button type="submit" onclick="sendRequest()"> Send Request to Server </button>
    <script>
    "use strict";
    //Construct the script tag at Runtime
    function requestServerCall(url) {
      var head = document.head;
      var script = document.createElement("script");

      script.setAttribute("src", url);
      head.appendChild(script);
      head.removeChild(script);
    }

    //Predefined callback function    
    function jsonpCallback(data) {
      alert(data.message); // Response data from the server
    }

    //Reference to the input field
    var username = document.getElementById("username");

    //Send Request to Server
    function sendRequest() {
      // Edit with your Web Service URL
      requestServerCall("http://localhost/PHP_Series/CORS/myService.php?callback=jsonpCallback&message="+username.value+"");
    }    

  </script>
   </body>
   </html>

Часть кода сервера PHP-кода

<?php
    header("Content-Type: application/javascript");
    $callback = $_GET["callback"];
    $message = $_GET["message"]." you got a response from server yipeee!!!";
    $jsonResponse = "{\"message\":\"" . $message . "\"}";
    echo $callback . "(" . $jsonResponse . ")";
?>

Ajain Vivek 17 март 2013, в 14:27

3

ссылка сверху всего 404с сейчас
Man Personson 02 март 2014, в 23:52
0

Содержимое этой ссылки теперь доступно по адресу http://scn.sap.com/community/developer-center/front-end/blog/2013/07/15/secret-behind-jsonp .
ᴠɪɴᴄᴇɴᴛ 26 авг. 2014, в 14:19

36

Потому что вы можете попросить сервер добавить префикс к возвращенному объекту JSON. Например

function_prefix(json_object);

чтобы браузер eval "встроил" строку JSON в качестве выражения. Этот трюк позволяет серверу "вводить" javascript-код непосредственно в браузере клиента, и это обходит ограничения "того же происхождения".

Другими словами, вы можете иметь обмен данными между доменами.

Обычно XMLHttpRequest не разрешает междоменный обмен данными напрямую (нужно пройти через сервер в том же домене), тогда как:

<script src="some_other_domain/some_data.js&prefix=function_prefix > `можно получить доступ к данным из домена, отличного от исходного.

Также стоит отметить: несмотря на то, что сервер должен считаться "доверенным" перед попыткой такого "трюка", могут содержаться побочные эффекты возможных изменений в формате объекта и т.д. Если для приема объекта JSON используется function_prefix (т.е. Собственная функция js), эта функция может выполнять проверки перед принятием/дальнейшей обработкой возвращенных данных.

jldupont 14 янв. 2010, в 21:50

17

JSONP отлично справляется с ошибками междоменного скриптинга. Вы можете использовать сервис JSONP исключительно с помощью JS без необходимости использования прокси-сервера AJAX на стороне сервера.

Вы можете использовать службу b1t.co, чтобы увидеть, как она работает. Это бесплатный сервис JSONP, который позволяет вам минимизировать ваши URL-адреса. Вот URL-адрес для использования:

http://b1t.co/Site/api/External/MakeUrlWithGet?callback=[resultsCallBack]&url=[escapedUrlToMinify]

Например, вызов http://b1t.co/Site/api/External/MakeUrlWithGet?callback=whateverJavascriptName&url=google.com

вернет

whateverJavascriptName({"success":true,"url":"http://google.com","shortUrl":"http://b1t.co/54"});

И, таким образом, когда это загрузится в js как src, оно автоматически запустит anyJavascriptName, которое вы должны реализовать в качестве функции обратного вызова:

function minifyResultsCallBack(data)
{
    document.getElementById("results").innerHTML = JSON.stringify(data);
}

Чтобы сделать JSONP-вызов, вы можете сделать это несколькими способами (в том числе с использованием jQuery), но вот пример JSON:

function minify(urlToMinify)
{
   url = escape(urlToMinify);
   var s = document.createElement('script');
   s.id = 'dynScript';
   s.type='text/javascript';
   s.src = "http://b1t.co/Site/api/External/MakeUrlWithGet?callback=resultsCallBack&url=" + url;
   document.getElementsByTagName('head')[0].appendChild(s);
}

Пошаговый пример и веб-сервис jsonp для практики доступны по адресу: этот пост

dardawk 28 март 2013, в 17:15

2

Спасибо за публикацию вашего ответа! Обратите внимание, что вы должны опубликовать основные части ответа здесь, на этом сайте, иначе ваша публикация может быть удалена. См. Раздел часто задаваемых вопросов, где упоминаются ответы «едва ли больше, чем ссылка». Вы по-прежнему можете включить ссылку, если хотите, но только в качестве «ссылки». Ответ должен стоять самостоятельно, без необходимости ссылки.
Taryn♦ 28 март 2013, в 19:24

10

Простой пример использования JSONP.

client.html

    <html>
    <head>
   </head>
     body>


    <input type="button" id="001" onclick=gO("getCompany") value="Company"  />
    <input type="button" id="002" onclick=gO("getPosition") value="Position"/>
    <h3>
    <div id="101">

    </div>
    </h3>

    <script type="text/javascript">

    var elem=document.getElementById("101");

    function gO(callback){

    script = document.createElement('script');
    script.type = 'text/javascript';
    script.src = 'http://localhost/test/server.php?callback='+callback;
    elem.appendChild(script);
    elem.removeChild(script);


    }

    function getCompany(data){

    var message="The company you work for is "+data.company +"<img src='"+data.image+"'/   >";
    elem.innerHTML=message;
}

    function getPosition(data){
    var message="The position you are offered is "+data.position;
    elem.innerHTML=message;
    }
    </script>
    </body>
    </html>

server.php

  <?php

    $callback=$_GET["callback"];
    echo $callback;

    if($callback=='getCompany')
    $response="({\"company\":\"Google\",\"image\":\"xyz.jpg\"})";

    else
    $response="({\"position\":\"Development Intern\"})";
    echo $response;

    ?>

sarath joseph 06 июнь 2014, в 07:11

9

Прежде чем понимать JSONP, вам необходимо знать формат JSON и XML. В настоящее время наиболее часто используемым форматом данных в Интернете является XML, но XML очень сложный. Это делает пользователей неудобными для обработки встроенных веб-страниц.

Чтобы JavaScript мог легко обмениваться данными, даже как программа обработки данных, мы используем формулировку в соответствии с объектами JavaScript и разработали простой формат обмена данными, который является JSON. JSON может использоваться как данные или как программа JavaScript.

JSON может быть непосредственно встроен в JavaScript, используя их, вы можете напрямую выполнять определенную программу JSON, но из-за ограничений безопасности механизм Sandbox браузера отключает выполнение кода JSON междоменного доступа.

Чтобы JSON мог быть передан после выполнения, мы разработали JSONP. JSONP обходит ограничения безопасности браузера с помощью функции обратного вызова JavaScript и <script> .

Итак, кратко объясняет, что такое JSONP, какую проблему он решает (когда его использовать).

Marcus Thornton 08 дек. 2015, в 05:44

4

Я опроверг это, потому что я не верю утверждению, что XML был наиболее часто используемым форматом данных в сети в декабре 15 года.
RobbyD 16 янв. 2017, в 15:55

0

Большие ответы уже были даны, мне просто нужно предоставить свою часть в виде блоков кода в javascript (я также буду включать более современное и лучшее решение для запросов с кросс-началом: CORS с заголовками HTTP):

JSONP:

1.client_jsonp.js

$.ajax({
    url: "http://api_test_server.proudlygeek.c9.io/?callback=?",
    dataType: "jsonp",
    success: function(data) {
        console.log(data);    
    }
});

2.server_jsonp.js

var http = require("http"),
    url  = require("url");

var server = http.createServer(function(req, res) {

    var callback = url.parse(req.url, true).query.callback || "myCallback";
    console.log(url.parse(req.url, true).query.callback);

    var data = {
        'name': "Gianpiero",
        'last': "Fiorelli",
        'age': 37
    };

    data = callback + '(' + JSON.stringify(data) + ');';

    res.writeHead(200, {'Content-Type': 'application/json'});
    res.end(data);
});

server.listen(process.env.PORT, process.env.IP);

console.log('Server running at '  + process.env.PORT + ':' + process.env.IP);

CORS:

3.client_cors.js

$.ajax({
    url: "http://api_test_server.proudlygeek.c9.io/",
    success: function(data) {
        console.log(data);    
    }
});

4.server_cors.js

var http = require("http"),
    url  = require("url");

var server = http.createServer(function(req, res) {
    console.log(req.headers);

    var data = {
        'name': "Gianpiero",
        'last': "Fiorelli",
        'age': 37
    };

    res.writeHead(200, {
        'Content-Type': 'application/json',
        'Access-Control-Allow-Origin': '*'
    });

    res.end(JSON.stringify(data));
});

server.listen(process.env.PORT, process.env.IP);

console.log('Server running at '  + process.env.PORT + ':' + process.env.IP);

Humoyun 04 дек. 2018, в 04:07

Ещё вопросы

Скаффман, могу ли я считать, что из твоего взгляда из глубины души ты тот, кто удалил совершенно разумные вопросы из Википедии? Без добавления чего-либо или улучшения? Как это «вандализм» задавать вопрос. Sheesh. И да, в этот самый момент я собираюсь улучшить страницу википедии, предоставив информацию, предоставленную jvenema.
Для записи НЕ используйте JSONP, если вы не доверяете серверу, на котором говорите на 100%. Если это скомпрометировано, ваша веб-страница будет скомпрометирована.
Также обратите внимание, что JSONP может быть взломан, если он не реализован правильно.
Я хотел бы отдать должное автору JSONP, который изложил философию, стоящую за этим: архив Боба Ипполито на JSONP . Он представляет JSONP как «новую методологию, независимую от технологии, для метода тегов сценария для междоменной выборки данных».
Почему этот вопрос помечен как дубликат, если вопрос, который является «дубликатом», был задан через 10 месяцев после этого?
Спасибо за объяснение тега сценария. Я не смог понять, как JSONP обошел политику междоменной безопасности. После объяснения я чувствую себя немного глупо, чтобы упустить момент ...
Это очень хороший дополнительный ответ на ответ jvenema - я не понимал, почему обратный вызов был необходим, пока вы не указали, что в противном случае к данным json придется обращаться через элемент script.
@ravisoni, как ie6 загружает скрипты? ACTIVEX?
Спасибо за такое ясное объяснение. Я хочу, чтобы мои учебники для колледжа были написаны такими людьми, как ты :)
Привет ThatGuy, ваши ответы действительно полезны для меня, большое спасибо, но у меня есть только одно сомнение, в примере jQuery вы снова используете ajax-метод, который внутренне вызывает XMLHttpRequest, который снова будет вызывать проблемы между доменами, это правильно?
Хорошая экспликация, а не предыдущая. Конечно, ваш отрывок "те, которые вы обычно используете для загрузки файлов js, чтобы js мог получить данные из другого домена. Звучит странно?" это также сенсационное сообщение для меня. Пример кода в очень выдающемся.
Отличное объяснение, но когда я попробовал первый пример, я получил эту ошибку: «Не удалось загрузить ресурс: сервер ответил со статусом 404 (ОК)». Как я могу обойти это?
Это было действительно полезно. Кроме того, как, черт возьми, я настраиваю заголовок Accept, чтобы сообщить стороннему серверу, что ответить. Кажется невозможным установить заголовки при выполнении типа данных JSON.
отступы не должны быть буквальными. это своего рода метафора. так что это может означать «JSON с некоторыми пробелами». лол
Содержимое этой ссылки теперь доступно по адресу http://scn.sap.com/community/developer-center/front-end/blog/2013/07/15/secret-behind-jsonp .
Спасибо за публикацию вашего ответа! Обратите внимание, что вы должны опубликовать основные части ответа здесь, на этом сайте, иначе ваша публикация может быть удалена. См. Раздел часто задаваемых вопросов, где упоминаются ответы «едва ли больше, чем ссылка». Вы по-прежнему можете включить ссылку, если хотите, но только в качестве «ссылки». Ответ должен стоять самостоятельно, без необходимости ссылки.
Я опроверг это, потому что я не верю утверждению, что XML был наиболее часто используемым форматом данных в сети в декабре 15 года.

jvenema · Accepted Answer · 2010-01-14T21-58-00.000Z

1747

Лучший ответ

Это на самом деле не слишком сложно...

Скажите, что вы находитесь на сайте example.com, и хотите сделать запрос на домен example.net. Для этого вам необходимо пересечь границы домена, no-no в большинстве браузеров.

Один элемент, который обходит это ограничение, - это теги <script>. Когда вы используете тег скрипта, ограничение домена игнорируется, но при нормальных обстоятельствах вы ничего не можете сделать с результатами, скрипт просто получает оценку.

Введите JSONP. Когда вы делаете свой запрос на сервер, который включен JSONP, вы передаете специальный параметр, который немного сообщает серверу о вашей странице. Таким образом, сервер может красиво завершать свой ответ так, как может обрабатывать ваша страница.

Например, скажем, сервер ожидает параметр "обратный вызов", чтобы включить его возможности JSONP. Тогда ваш запрос будет выглядеть так:

http://www.example.net/sample.aspx?callback=mycallback

Без JSONP это может вернуть некоторый базовый объект JavaScript, например:

{ foo: 'bar' }

Однако с JSONP, когда сервер получает параметр "обратный вызов", он немного уменьшает результат, возвращая что-то вроде этого:

mycallback({ foo: 'bar' });

Как вы можете видеть, теперь он будет вызывать указанный вами метод. Итак, на вашей странице вы определяете функцию обратного вызова:

mycallback = function(data){
  alert(data.foo);
};

И теперь, когда скрипт будет загружен, он будет оценен, и ваша функция будет выполнена. Voila, междоменные запросы!

Также стоит отметить одну серьезную проблему с JSONP: вы теряете много контроля над запросом. Например, нет "хорошего" способа вернуть коды отказа. В результате вы в конечном итоге используете таймеры для отслеживания запроса и т.д., Что всегда немного подозрительно. Предложение для JSONRequest - отличное решение для разрешения междоменного скриптинга, поддержания безопасности и обеспечения надлежащего контроля над запросом.

В эти дни (2015), CORS - рекомендуемый подход против JSONRequest. JSONP по-прежнему полезен для более старой поддержки браузеров, но с учетом последствий для безопасности, если у вас нет выбора, CORS - лучший выбор.

jvenema 14 янв. 2010, в 21:58

159

Обратите внимание, что использование JSONP имеет некоторые последствия для безопасности. Поскольку JSONP действительно является javascript, он может делать все остальное, что может делать javascript, поэтому вам нужно доверять поставщику данных JSONP. Я написал сообщение в блоге об этом здесь: erlend.oftedal.no/blog/?blogid=97
Erlend 14 янв. 2010, в 21:24
66

Действительно ли в JSONP есть какие-то новые аспекты безопасности, которых нет в теге <script>? С помощью тега script браузер неявно доверяет серверу доставку неопасного Javascript, который браузер слепо оценивает. JSONP меняет этот факт? Кажется, нет.
Cheeso 14 янв. 2010, в 21:45
20

Нет, это не так. Если вы доверяете Javascript, то же самое относится и к JSONP.
jvenema 14 янв. 2010, в 21:52
14

Стоит отметить, что вы можете немного повысить безопасность, изменив способ возврата данных. Если вы возвращаете сценарий в истинном формате JSON, например, mycallback ('{"foo": "bar"}') (обратите внимание, что параметр теперь является строкой), то вы можете самостоятельно проанализировать данные вручную, чтобы "очистить" их перед оценка.
jvenema 15 янв. 2010, в 00:04
2

@ Cheeso: Нет, это точно такая же проблема. Но некоторые люди не понимают, что это проблема. @jvenema: Вы все равно должны доверять поставщику данных :-)
Erlend 15 янв. 2010, в 10:13
1

@ Erlend, нет разногласий - каждый раз, когда вы загружаете что-то междоменное, вам нужно хоть немного доверять тому, что вы загружаете :)
jvenema 17 янв. 2010, в 21:54
0

@jvenema CURL также разработан для междоменного восстановления данных (AFAIK), тогда зачем нужен JSONP?
JustLearn 08 сен. 2010, в 04:19
8

CURL - это решение на стороне сервера, а не на стороне клиента. Они служат двум различным целям.
jvenema 08 сен. 2010, в 13:10
3

{foo: 'bar'} полностью допустим как литерал объекта JS, что и показал мой пример - JSONP прекрасно работает с литералами объекта или строгим JSON.
jvenema 09 дек. 2010, в 00:36
5

@Stephen { 'foo' : 'bar' } по-прежнему недопустим в формате JSON. Двойные кавычки обязательны.
Joe Coder 13 март 2013, в 00:41
1

@Cheeso - разница в том, что теги <script> будут ссылаться на ресурс под вашим собственным контролем. Например, если вы не доверяете CDN, просто скопируйте скрипт на свой собственный сервер. Эта опция невозможна в JSONP, если вы хотите, чтобы данные передавались с сервера, который вы не управляете напрямую на веб-странице. Хотя обходной путь jvenema - хорошая идея.
Martin Capodici 24 сен. 2014, в 21:49
0

@Quentin - некоторые хорошие мысли в вашем редактировании, но они меняют некоторые из простоты и четкости исходного ответа. Я добавил редактирование, которое ссылается на CORS в качестве опции.
jvenema 03 март 2015, в 06:00
0

Я думаю, что JSONRequest - красная сельдь, насколько я знаю, нет ни одного браузера, который бы ее поддерживал.
Quentin 03 март 2015, в 07:51
0

Также странно давать все не-JSONP примеры в виде фрагментов JavaScript вместо JSON, поскольку люди обычно уже используют JSON (особенно если они рассматривают JSONP).
Quentin 03 март 2015, в 07:55
0

Если подумать, ваш пример JSONP - это даже не JSONP. Это просто JavaScript, но аргумент функции недопустим в формате JSON. В большинстве случаев это будет работать, но не для случайного парсера JSONP, который удаляет часть обратного вызова, а затем передает остальное парсеру JSON.
Quentin 03 март 2015, в 08:18
0

Итак, callback=? значит мы назначаем имя оболочки на сервере правильно? Я думал, что мы передаем уникальный идентификатор для определения экземпляров страницы или чего-то еще, но это имеет гораздо больший смысл. Отличный пост!
yardpenalty 30 июнь 2016, в 07:40
0

Правильный. Поскольку js просто выполняется браузером сразу после получения ответа, вы должны сообщить серверу, какую функцию (в браузере) вы хотите вызвать, и сервер отвечает за упаковку данных, чтобы он вызывал эту функцию. ,
jvenema 01 июль 2016, в 22:36
0

@Quentin - смотрите комментарии в начале темы: JSON против JS литералов.
jvenema 01 июль 2016, в 22:37
0

так что в принципе вы можете просто двигаться дальше, не зная, как это работает правильно? ..
Martian2049 23 авг. 2016, в 15:36
0

Стоит отметить, что возвращаемый скрипт не может связываться с вашим DOM. Вот почему вы передаете свое собственное имя функции, на которое у вас есть ссылка.
Cholthi Paul Ttiopic 06 окт. 2016, в 06:58
2

@CholthiPaulTtiopic - JSONP работает, вставляя скрипт на страницу. Возвращенный скрипт может связываться с DOM сколько угодно. JSONP открывает вам доступ к атакам XSS из источника данных, поэтому вы должны полностью доверять источнику данных. (Именно поэтому CORS лучше, он не страдает от этой проблемы).
Quentin 12 янв. 2017, в 15:32
1

@yardpenalty - Не совсем. callback=? означает, что имя оболочки определяется клиентской библиотекой, которая заменит ? с чем-то случайным, чтобы избежать конфликтов (поскольку вызываемая функция должна быть глобальной). Затем сервер должен использовать функцию с именем ? заменяется на когда он генерирует обратный вызов.
Quentin 12 янв. 2017, в 15:33
0

@Quentin спасибо. Таким образом, мы можем эффективно сказать, что обратный вызов, который вы даете, открывает защитные двери для разработчиков источников данных.
Cholthi Paul Ttiopic 17 янв. 2017, в 09:08
0

@CholthiPaulTtiopic да! отсюда и массированный голос о безопасности
jvenema 19 янв. 2017, в 05:08
0

@Quentin, насколько опасным может быть java-скрипт, введенный через аргумент функции. Разве это не ограничивается только данными и не является оправданным JS?
Cholthi Paul Ttiopic 19 янв. 2017, в 08:09
0

@CholthiPaulTtiopic - «насколько опасным может стать java-скрипт, введенный через аргумент функции» - он полностью раскрывает любой JS, который сайт хочет отправить. «Разве это не ограничивается только данными, а не исполняемым JS» - нет, это не так. Вы можете поместить любое понравившееся вам выражение в аргумент функции. alert( function() { do_bad_stuff(); return "xss" }() ); , Даже если это не так, вы загружаете скрипт от третьей стороны. Они не должны отправлять вам тот, который соответствует соглашениям JSONP. Это не должно упомянуть ваш обратный звонок. Это может быть просто сценарий атаки.
Quentin 19 янв. 2017, в 08:14
0

@ Квентин, вау! библиотека JSONP просто выводит все в тег скрипта, прежде чем убедиться, что источник данных предоставляет действительный обратный вызов. Это будет ванильный междоменный запрос в действии.
Cholthi Paul Ttiopic 19 янв. 2017, в 09:06
0

@CholthiPaulTtiopic - Нет. Чтобы сделать это, он должен иметь возможность читать сценарий как обычный текст, используя XHR. Весь смысл JSONP в том, чтобы взломать это. Клиентская библиотека (1) Добавляет функцию со случайным именем, например YOUR_CALLBACK (2). Вставляет <script src="http://example.com/jsonp?callback=YOUR_CALLBACK"></script>
Quentin 19 янв. 2017, в 09:08
1

Я вижу, что соглашения JSONP ориентированы на удобство, а не безопасность
Cholthi Paul Ttiopic 19 янв. 2017, в 09:21
0

Я полагаю, что я не совсем уверен в вышесказанном. В ответе говорится, что другой сервер вернет ответ. Но как серверный вызов попадает в первую очередь. (поскольку сам ответ говорит, что xyz.com не может соединиться с xyz.net)
Saurabh Tiwari 17 фев. 2017, в 10:25
0

Обычно xyz.com не может общаться с xyz.net. Теги <script> JavaScript обходят это ограничение.
jvenema 25 фев. 2017, в 19:35
0

Но если тот источник, на который вы ссылаетесь, является вредоносным, не должен без JSONP, тем не менее он может отправить, если у меня есть <script src="somesite.com/hacked.js" > , теперь этот js-файл, который мы берем из другого источника, может также в значительной степени делать все, что делает JSONP, правильно, и если это так, то почему JSONP приобретает такую большую популярность, разве мы не должны просто не включать ресурсы с САЙТА, которому мы не доверяем, так как без JSONP он также может просто отправлять простой файл js, который может получить доступ ко всему DOM. Пожалуйста, очистите мою путаницу
Suraj Jain 17 дек. 2017, в 03:36

Показать ещё 30 комментариев