浅谈 JSONP

栏目: Json · 发布时间: 5年前

内容简介:全称 JSON with Padding,用于解决AJAX跨域问题的一种方案。由于同源策略的限制,浏览器只允许XmlHttpRequest请求当前源(域名、协议、端口)的资源,而对请求script资源没有限制。通过请求script标签实现跨域请求,然后在服务端输出JSON数据并执行回调函数,这种跨域的数据的方式被称为JSONP。

JSONP

全称 JSON with Padding,用于解决AJAX跨域问题的一种方案。

由于同源策略的限制,浏览器只允许XmlHttpRequest请求当前源(域名、协议、端口)的资源,而对请求script资源没有限制。通过请求script标签实现跨域请求,然后在服务端输出JSON数据并执行回调函数,这种跨域的数据的方式被称为JSONP。

浅谈 JSONP 

<script>
    var request = new XMLHttpRequest();

    request.onreadystatechange = function(){
        if (request.readyState === 4){
            if(request.status === 200){
                alert('success!');
            }
        }
    }
    request.open('GET','http://xxx.xxx.xx/json.txt');
    request.send();
    </script>

浅谈 JSONP 浅谈 JSONP 服务端json.php 

<?php
header('Content-type: application/json');

$jsoncallback = htmlspecialchars($_REQUEST['jsoncallback']);

$json_data = array(
            "username" => "test",
            "password" => "123456",
            "userimage" => "http://xxx.com/smi1e.jpg"
        );

echo $jsoncallback.'('.json_encode($json_data).')';

index.html

<!DOCTYPE html>
<html>
<head>
    <title>test_jsonp</title>
</head>
<script type="text/javascript">
    function refresh(data){
        var p = document.getElementById('test-jsonp');
        p.innerHTML = '测试:'+'</br>'+
        data.username+'</br>'+
        data.pssword+'</br>'+
        data.userimage+'</br>';
    }

    function gettxt(){
        var 
            js = document.createElement('script'),
            head = document.getElementsByTagName('head')[0];
        js.src='http://xxx.xxx.xxx/json.php?jsoncallback=refresh';
        head.appendChild(js);
    }

</script>
<body>
<p>hello,friend</p>
<p id='test-jsonp'>测试:</p>
<p><button type="button" onclick="gettxt()">刷新</button></p>
</body>
</html>

浅谈 JSONP

浅谈 JSONP

浅谈 JSONP

jsonp跨域漏洞

JSONP劫持

callback无过滤导致的xss

bypass可以参考: JSONP 安全攻防技术

防御

1、严格安全的实现 CSRF 方式调用 JSON 文件:限制 Referer 、部署一次性 Token 等。

2、严格安装 JSON 格式标准输出 Content-Type 及编码( Content-Type : application/json; charset=utf-8 )。

3、严格过滤 callback 函数名及 JSON 里数据的输出。

4、严格限制对 JSONP 输出 callback 函数名的长度。

Referer

https://juejin.im/entry/59a5a194f265da24734447f2

https://segmentfault.com/a/1190000007935557


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
神经网络与机器学习(原书第3版)

神经网络与机器学习(原书第3版)

[加] Simon Haykin / 申富饶、徐烨、郑俊、晁静 / 机械工业出版社 / 2011-3 / 79.00元

神经网络是计算智能和机器学习的重要分支,在诸多领域都取得了很大的成功。在众多神经网络著作中,影响最为广泛的是Simon Haykin的《神经网络原理》(第3版更名为《神经网络与机器学习》)。在本书中,作者结合近年来神经网络和机器学习的最新进展,从理论和实际应用出发,全面、系统地介绍了神经网络的基本模型、方法和技术,并将神经网络和机器学习有机地结合在一起。 本书不但注重对数学分析方法和理论的探......一起来看看 《神经网络与机器学习(原书第3版)》 这本书的介绍吧!

码农工具
XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2025 码农网 粤ICP备17054400号-3