JSONP跨域总结

什么是跨域

• 请求协议（http,https）不同
• 域名（domain）不同
• 端口（port）不同

更详细的说明可以看下表：

URL	说明	是否允许通信
http://www.a.com/a.js http://www.a.com/b.js	同一域名下	允许
http://www.a.com/lab/a.js http://www.a.com/script/b.js	同一域名下不同文件夹	允许
http://www.a.com:8000/a.js http://www.a.com/b.js	同一域名，不同端口	不允许
http://www.a.com/a.js https://www.a.com/b.js	同一域名，不同协议	不允许
http://www.a.com/a.js http://70.32.92.74/b.js	域名和域名对应ip	不允许
http://www.a.com/a.js http://script.a.com/b.js	主域相同，子域不同	不允许
http://www.a.com/a.js http://a.com/b.js	同一域名，不同二级域名（同上）	不允许（cookie这种情况下也不允许访问）
http://www.cnblogs.com/a.js http://www.a.com/b.js	不同域名	不允许

跨域解决方案之 JSONP

Jsonp （JSON with Padding） 是 json 的一种"使用模式"，可以让网页从别的域名（网站）那获取资料，即跨域读取数据。

由于跨域的存在，使资源交互在不同域名间变的复杂和安全。对于跨域数据传输，当数据长度较小(get的长度内)，jsonp是一种较好的解决方案。

为什么我们从不同的域（网站）访问数据需要一个特殊的技术(JSONP )呢？这是因为浏览器同源策略，它是由Netscape提出的一个著名的安全策略，现在所有支持JavaScript 的浏览器都会使用这个策略。

Jsonp的原理是利用 <script> 元素的开放策略，网页可以得到从其他来源动态获取的 JSON 数据，数据被包裹在一个JavaScript 函数中。

jsonp的js端调用

主要功能：通过jsonp向服务器，调用相应接口，获应数据；根据获取数据结果做出相应回调。

<script type="text/javascript">
    $(function () {
        alert("start...");
        $.ajax({
            type: "get",
            // 这个就是不同于当前域的一个URL地址
            url: "http://your_site_url", 
            dataType: "jsonp",
            //传递给请求处理程序或页面的，用以获得jsonp回调函数名的参数名(默认为:callback)
            jsonp: "callback",  
            //自定义的jsonp回调函数名称，默认为jQuery自动生成的随机函数名
            // jsonpcallback与上面的jsonp值一致
            jsonpCallback:"success_jsonpCallback",
            data: "name=admin",  
            success : function(json){//返回的json数据
                console.log(josn.message);//回调输出
                alert('success');
            },
            error:function(){
                alert('fail');
            }
        });
    alert("end...");
});
</script>

jsonp 服务器端 (php)

<?php
$data = ".......";
$callback = $_GET['callback'];
echo $callback.'('.json_encode($data).')';
exit;
?>

Jsonp使用注意事项

1.安全问题

JSONP可能会引起 CSRF(Cross-site request forgery 跨站请求伪造)攻击或 XSS (Cross Site Scripting 跨站脚本攻击)漏洞。

对于支持 JSONP的接口，写接口时数据可能会被篡改，读接口时数据可能会被劫持。

XSS示例：

输出 JSON 时，没有严格定义好Content-Type（Content-Type: application/json）直接导致了一个典型的 XSS 漏洞：

http://127.0.0.1/getUsers.php?callback=<script>alert(/xss/)</script>

2.传值问题

使用Jsonp进行跨域请求，只能通过GET请求传值！！！

可以从Josnp的原理来理解：

JSONP的最基本的原理是动态添加一个<script>标签，而script标签的src属性是没有跨域的限制的。这样说来，这种跨域方式其实与ajax XmlHttpRequest协议无关了。
可以说jsonp的方式原理上和<script src="http://跨域/...xx.js"></script>是一致的，因为他的原理实际上就是 使用js的script标签 进行传参，那么必然是get方式的了，和浏览器中敲入一个url一样。

预先定义callback函数

function myfunc(data) {
   console.log(data)
}

dom中插入script标签

<!-- callback参数对象对应上面callback函数名 -->
<script src="//example.com/jsonp.js?callback=myfunc"></script>

浏览器请求//example.com/jsonp.js?callback=myfunc, 得到内容

myfunc({"foo": "bar"}) //数据传入到了callback函数

本质上是通过script标签获取数据, script标签是只支持GET的。

总结

• 目前来说，数据量小的跨域传输，jsonp是一种很好的解决方案。
• jsonp在data中可以自动识别，res.status，res.info等状态位，比较方便。
• php 端的接受代码最好不要采用Access-Control-Allow-Origin:*风险太大。
• Jsonp的兼容性更好，在更加古老的浏览器中都 可以运行。
• Jsonp只支持GET请求而不支持POST等其它类型的HTTP请求
• Jsonp只支持跨域HTTP请求这种情况，不能解决不同域的两个页面之间如何进行JavaScript调用的问题。