什么是JSONP协议 及对JSONP的改进

时间:2022-12-18 13:21:07

JSONP即JSON with Padding。由于同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端口)的资源。如果要进行跨域请求,我们可以通过使用 html的script标记来进行跨域请求,并在响应中返回要执行的script代码,其中可以直接使用JSON传递javascript对象。这种跨域 的通讯方式称为JSONP。

很明显,JSONP是一种脚本注入(Script Injection)行为,需要特别注意其安全性。

在asp.net中实现简单的JSONP非常简单。我们需要两个页面,分别承担协议的客户端和服务器端角色。

假设我们有两个站点,http://www.baa.com.cnhttp://www.bitauto.com

我们的客户端页面为 http://www.baa.com.cn/JSONPClient.aspx ;而我们的服务器端页面为 http://www.bitauto.com/JSONPServer.aspx

首先,我们来做客户端页面:

==========Javascript代码段1:JSONP客户端发送请求的方法=================

    function CallJSONPServer(url){                                 // 调用JSONP服务器,url为请求服务器地址

   

        var oldScript =document.getElementById(url);       // 如果页面中注册了调用的服务器,则重新调用

        if(oldScript){

        oldScript.setAttribute("src",url);

        return;

        }

        var script =document.createElement("script");       // 如果未注册该服务器,则注册并请求之

        script.setAttribute("type", "text/javascript");

        script.setAttribute("src",url);

        script.setAttribute("id", url);

        document.appendChild(script);

    }

------------------END------------------------

===========Javascript代码段2:JSONP客户端对服务器开放的接口方法=======================

    function OnJSONPServerResponse(obj){

        alert(obj);

    }

------------------END------------------------

===========HTML代码段1:JSONP客户端向用户提供的UI===============

<input type="button" onclick="CallJSONPServer('http://www.bitauto.com/JSONPServer.aspx')" />

------------------END------------------------

至此,JSONP客户端完成,接下来我们做JSONP服务器端页面:

============C#代码段1:应答JSONP客户端请求================

    protected void Page_Load(object sender, EventArgs e)

    {

        Response.DisableKernelCache();

        Response.Cache.SetNoStore();

        Response.Write("OnJSONPServerResponse('" + DateTime.Now.ToString() + "');");

        Response.End();

    }

    =======================END=================================

 

jsonP目前被用来作为跨域的首选方案.即用动态创建的script标签去回调后端脚本,然后获取返回值并调用回调函数。但这里面有两个比较遗憾的事情:

  1. 前端需要和后端提前定义好接口,而且定义接口后,如果前端回调函数要改变名字,那么后端也需要变。(比如串行化,一个接口调用不同的回调函数,那么就更麻烦了)。
  2. 无法捕获错误信息。

为了处理这两点。从好奇和emu那边看到了一个比较好的解决方案。转载记录一下

var  callbackJS  =  function  () {  
    
var  ua  =  navigator.userAgent;

    
if  ( / MSIE / .test(ua)) {
        
return  function  (param) {
            
            charset 
=  param.charset  ||  ' gb2312 '

            
var  frag  =  document.createDocumentFragment(), script  =  frag.createElement( ' script ' );
            script.charset 
=  charset;
            frag[param.name] 
=  function  () {
                param.callback 
&&  param.callback.apply( null , arguments);
                frag 
=  script  =  script.onreadystatechange  =  frag[param.name]  =  null ;
            };
            script.onreadystatechange 
=  function  () {
                
if  (script.readyState  ==  ' loaded ' ) {
                    param.errorcallback 
&&  param.errorcallback();
                    frag 
=  script  =  script.onreadystatechange  =  frag[param.name]  =  null ;
                }
            };
            script.src 
=  param.url;
            frag.appendChild(script);

        };

    } 
else  {
        
return  function  (param) {
            
            charset 
=  param.charset  ||  ' gb2312 '

            
var  iframe  =  document.createElement( ' iframe ' );
            iframe.style.display 
=  ' none ' ;
            
            iframe.callback 
=  function  () {
                param.callback 
&&  param.callback.apply( null , arguments);
                iframe.callback 
=  iframe.errorcallback  =  null ;
                iframe.src 
=  ' about:blank ' , iframe.parentNode.removeChild(iframe), iframe  =  null ;
            };
            iframe.errorcallback 
=  function  () {
                param.errorcallback 
&&  param.errorcallback();
                iframe.callback 
=  iframe.errorcallback  =  null ;
                iframe.src 
=  ' about:blank ' , iframe.parentNode.removeChild(iframe), iframe  =  null ;
            };
            
try  {
                
if  ( / KHTML / .test(ua)) iframe.src  =  ' block.htm ' // 404可以
                iframe.onload  =  function  () {
                    
                    iframe.onload 
=  null ;
                    
// iframe.src="javascript:\"<scrip"+"t>function " + param.name + "(){frameElement.callback.apply(null, arguments)};<\/scrip"+"t><scrip"+"t src='"+param.url+"'><\/scrip"+"t><scrip"+"t>setTimeout('frameElement.errorcallback()',0)<\/scrip"+"t>\"";
                    iframe.contentWindow.document.open();
                    iframe.contentWindow.document.write(
                        
' <script type="text\/javascript">function  '  +  param.name  +  ' () { frameElement.callback.apply(null, arguments); }<\/script> '
                        
+  ' <script type="text\/javascript" src=" '  +  param.url  +  ' " charset=" '  +  charset  +  ' "><\/script> '
                        
+  ' <script type="text\/javascript">window.setTimeout("try { frameElement.errorcallback(); } catch (exp) {}", 1)<\/script> '
                    );
                    iframe.contentWindow.document.close();
                };
                document.body.insertBefore(iframe, document.body.firstChild);
            } 
catch  (exp) {}
        };
    }
}();

【使用方法】

callbackJS({
    name: 
' callback ' //  和后端默认的接口
    url:  ' ajax.php ' ,   //  请求地址
    callback: result,  //  自定义的回调函数(这样就和后端无耦合了)
    errorcallback: error  //  错误回调函数
});