前端必备HTTP技能之JSONP技术详解

JSONP(JSON with Padding)是一种JSON扩展,用来解决由浏览器同源策略引起跨域限制。跨域限制就是限制访问其它域上面的资源而不限制当前域上的资源访问,通俗来说就是一个站点不能简单从其它站点访问数据。

它被开发出来的原因是处理浏览器同源策略很困难,使用JSONP可以抽象这种困难,让其处理起来更容易。

JOSN代表JavaScript Object Notation,是一种通过键值对表示对象字段的展示数据的格式。

如何工作

为了搞明白这种技术如何工作,首先考虑一个可以返回JSON数据的URL。js可以通过XMLHttpRequest请求这个URL,例如用户ID是1234,浏览器请求URL:http://server.example.com/Users/1234,传过去ID是1234,得到的结果类似下面:

{
    "Name": "Foo",
    "Id": 1234,
    "Rank": 7
}

这里,把这个URL赋值给<script>src属性,然后返回JSON:

<script type="application/javascript" src="http://server.example.com/Users/1234"></script>

浏览器会按顺序下载script文件,评估文件内容,把原始JSON数据解析成语句块,然后抛出语法语法异常。尽管数据可以解析成对象字面量,但是在浏览器中不会被js访问到,因为没有变量赋值,对象字面量是无法访问的。

在JSONP的使用模式中,<script>标签的src属性指向的URL请求返回的JSON数据,有js代码(通常是函数调用)包装。这种“包装负载”会被浏览器解析。用这种方式,js环境中已经定义的一个函数可以操纵JSON数据。一个典型的JOSNP请求和响应下面会说明。

JOSNP中的"P"可以理解为parseResponse(),解析响应;也可以理解为"padding",css中的代表元素的内边距,这里是指包裹着JOSN数据的内边距,很形象;也可以理解为"prefix"。

注意JOSNP如果要工作,服务端必须有一个包含JSONP函数的响应。JSONP不会对JOSN格式的结果起作用。返回JSONP函数调用,函数接受的参数必须是客户端和服务端约定好的格式。

按照惯例,浏览器提供回调函数作为请求参数值,通常在请求中使用jsonp或者callback作为请求字段。

<script type="application/javascript"
        src="http://server.example.com/Users/1234?callback=parseResponse">
</script>

在上例中,接收到的负载如下:

parseResponse({"Name": "Foo", "Id": 1234, "Rank": 7});

其中parseResponse是前端页面js域中已经定义过的一个js函数,参数就是一个json对象

脚本注入

只有在script标签中使用JSONP才有意义。对于每个新的JSONP请求,浏览器必须增加一个新的<script>标签,或者重用一个已经存在的。前一个选择增加一个新的script标签可以通过DOM操作实现,这就是脚本注入。<script>标签注入到HTML的DOM,然后把JSONP的请求url赋值给src属性。动态的脚本注入通常使用JQuery库实现或者其他框架有的JSONP帮助函数。

一个使用JQuery动态注入script标签实现JOSNP的例子:

$.getScript("http://server.example.com/Users/1234?callback=parseResponse");

当元素注入之后,浏览器解析这个元素,然后使用src属性的url执行HTTP请求,接收内容。然后浏览器把返回值当成js解析加载,这通常是个函数调用。

用这种方式,使用JOSNP可以让浏览器页面通过脚本注入躲过同源策略。

脚本会在页面包含的域中执行,因此,仍受跨域限制相对于包含页面。这意味着一个web页面不能通过JOSNP载入另一个站点的上的库,然后对这个站点发起XMLHttpRequest请求(除非这个站点支持CORS),尽管可以利用这个库对当前页面所在站点发起XMLHttpRequest请求。

使用服务端代理发起跨域请求

js的同源策略正常情况下组织浏览器对另一个站点发送AJAX请求接收响应(新版支持CORS的浏览器可以避免这个限制)。使用服务端代理,没有这种限制,可以转发浏览器请求到一个独立域上的服务器,保存结果,然后当浏览器第二次发送请求时,再把结果返回(其实没必要这么麻烦,一次请求就可以搞定,页面请求到服务端,服务端此时再发http请求到另一个站点获取到数据,然后把这个数据直接返回给页面,这样一次请求就搞定了,此时的服务端就是代理)。

安全考量

不受信任的第三方代码

一个站点如果包含来自远程服务器的script标签,远程服务器就可以注入任意内容到这个站点。如果远程服务器存在允许js注入的漏洞,源服务器托管的野蛮就会遭受攻击风险。如果攻击者可以注入任意js代码到源页面,那么这些代码就可以从任意域获取额外js,从而绕过同源策略。HTTP的Content Security Policy头可以让站点告诉浏览器那个域下面的脚本可以被获取。

2011年曾尝试给出一个JSONP的安全严格的子集定义,这个子集规定浏览器将强制脚本请求时附带一个指定的MIME类型,例如"application/json-p"。如果响应没有按严格的JSONP解析,浏览器可以抛出异常或者忽略整个响应。然而为了支持CORS废弃了提案,现在JOSNP保留的正确的MIME类型是application/javascript

回调名操纵和映射文件下载攻击

未被批准的回调名称可以用来传送恶意数据到客户端,绕过application/json类型限制,曾在映射文件下载攻击(reflected file download,RFD)发表时演示过。

跨域请求伪造

JSONP容易遭受跨站请求伪造攻击。因为<script>标签可以绕过浏览器的同源策略,一个恶意页面可以从其它站点请求获取JSON数据。这样JOSN格式编码的数据可以在恶意页面的上下文环境中执行,如果用户此时正在登陆一个站点,就容易泄露密码或者其他敏感信息。

只有当JSON格式编码的数据中包含敏感信息时,才有这个问题。在有未授权请求的情况下,服务端依赖浏览器的同源策略来阻止数据传递。这种完全依赖浏览器同源策略的安全策略可以避免,通过服务端决定请求是否被授权,如果是的话,再发送数据。但是要避免只使用cookies来决定请求是否授权的方式,因为存在跨站脚本请求。

做好前端开发必须对HTTP的相关知识有所了解,所以我创建了一个专题前端必备HTTP技能专门收集前端相关的HTTP知识,欢迎关注,投稿。


PS:本文翻译自维基百科,原文地址https://en.wikipedia.org/wiki/JSONP

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容