• jsonp的原理,应用场景,优缺点


    在开发测试中,难免会在不同域下进行跨域操作,出于安全性考虑,浏览器中的同源策略阻止从一个域上加载的脚本获取或者操作

    另一个域下的文档属性,这时需要进行跨域的方式进行解决,如:使用jsonp ,iframe等

    1.jsonp的原理

    jsonp,即json+padding,动态创建script标签,利用script标签的src属性可以获取任何域下的js脚本,通过这个特性(也可以说漏洞),服务器端不在返货json格式,而是返回一段调用

    某个函数的js代码,在src中进行了调用,这样实现了跨域.

    2.应用场景

    在网上经常看到别人的blog中在用jsonp模仿360和百度进行跨域拿数据,这两者就是典型的跨域请求案例.又比如在近期开发中前端部分用的是vue.js进行开发,所以跟后台进行交

    互的时候就可以通过跨域进行通信,正好用的jsonp(折腾 一番之后,最终没有用这种方式,后面会说到),另外,qq空间大部分用的都是

    jsonp.

    3.优缺点

    jsonp优点:
    完美解决在测试或者开发中获取不同域下的数据,用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了。简单来说数据的格式没有发生

    很大变化

    jsonp缺点:

    这里主要讲jsonp的缺点,也就是我上面说的没有用这个的原因

    1.jsonp只支持get请求而不支持post请求,也即是说如果想传给后台一个json格式的数据,此时问题就来了,浏览器会报一个http状态码

    415错误,告诉你请求格式不正确,这让我很蛋

    疼(在登录注册中需要给后台传一大串数据),如果都用参数的形式拼接在url后面的话不太现实,后台取值也会显得繁琐,

    2.在登录模块中需要用到session来判断当前用户的登录状态,这时候由于是跨域的原因,前后台的取到的session是不一样的,那么就不

    能就行session来判断.

    3.由于jsonp存在安全性问题(不知qq空间的跨域是怎么解决的,还是另有高招?)

    后来考虑到上面的一系列问题,采用的是后台进行设置允许跨域请求(但还是存在缺陷的,实质上还是跨域,如上面说的session问题)

    .Header set Access-Control-Allow-Origin * 

    为了防止XSS攻击我们的服务器, 我们可以限制域,比如

    Access-Control-Allow-Origin: http://blog.csdn.net

  • 相关阅读:
    记一次HTTP劫持故障排查
    前面任意字符+固定字符+任意字符+固定字符匹配
    php-fpm启动,重启,终止操作
    crontab防止脚本周期内未执行完重复执行
    js深拷贝和浅拷贝
    vue 异步刷新页面,
    vue强制刷新组件
    js判断终端以及APP应用判断
    微信返回上一页的按钮会强制性使用页面缓存,不刷新页面
    json键和值转数组
  • 原文地址:https://www.cnblogs.com/hpx2020/p/8574208.html
Copyright © 2020-2023  润新知