事件背景:
某个站点分为静态产品介绍页面(或由于某原因需要静态化),和一个独立的在线应用程序。静态产品页面属于www.a.com下,而在线应用程序作为一个相对独立的系统存在于app.a.com上。
在www.a.com上需要显示在线应用程序(app.a.com)中用户的登录状态及简单的用户信息。由于需要实时的在静态页面中显示用户登录状态,在线应用程序提供了一个用户接口来输出当前用户的登录信息,静态页面采用ajax方式动态获取。
问题在于www.a.com和app.a.com分属于不同子域,无法通过ajax直接进行通信。~~通信协议 域名 端口号都相同才认为是同源
思路分析:
由于同源策略的限制,XMLHttpRequest只允许请求当前源(包含域名、协议、端口)的资源。
如众周知,script标签经常被用来加载不同域下的资源,例如在www.a.com可以使用http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js这个js文件,可以绕过同源策略。~~~script标签可以不受同源策略限制,加载不同域下的资源
同样的,可以通过使用script标签来进行跨域请求,但是怎么获取异域源返回的数据呢?
有这样一种方式:如果请求的这个远程数据本身就是一段可执行的js,那么这些js会被执行(相当于eval)。即,若在www.a.com中存在一个showUserStatus()的js函数,它的作用是在www.a.com显示当前用户状态,只要给它传递当前用户的状态数据就可以了。那么利用script标签请求的app.a.com中,输出数据为:showUserStatus(data),那么将会执行www.a.com中的showUserStatus(),用户当前的状态就在静态页面上显示了。
使用JSON来传递javascript对象是一种最简单的方式了,这样的跨域通讯方式称为JSONP。
解决方案:
1. 静态页面上的js:
<script type="text/javascript">
function showUserStatus(data) {
alert(data.txt);
}
</script>
<!--将函数名showUserStatus传递过去-->
<script type="text/javascript" src="http://app.a.com/userStatus.php?callback=showUserStatus"></script>
2. 远程php接口:
$get = $_GET;
$rtData = array(
'uID' => 10000,
'name' => 'Zhangsf',
'txt' => 'Welcome ZhangSanFeng',
);
// 获取传递来的函数名,并拼凑完整的函数执行体
echo $get['callback'] .'('. json_encode($rtData) .')';
这里输出的格式为:
showUserStatus({"uID":10000,"name":"Zhangsf","txt":"Welcome ZhangSanFeng"})
可以看出,输出的是一个可执行的js函数体。
总结:
需要注意的是:JSONP实际上是一种脚本注入(Script Injection)方式,存在一定的安全隐患。
jQuery的书写方法如下:
var url = 'http://app.a.com/userStatus.php?callback=?';
$.getJSON(url, function(data){
alert(data.txt)
});
抓包发现会产生类似于http://app.a.com/userStatus.php?type=json&callback=jsonp1261223089741&_=1261223089747的请求地址,问号被替换为一个带时间戳的回调函数名。