欢迎各位兄弟 发布技术文章

这里的技术是共享的

You are here

jsonp 跨域 ajax 跨域 有大用 有大大用

shiping1 的头像

www.phonegap100.com 上 搜 "jsonp" 就可以搜到跨域相关文章 

1)其实 <script src="XXXX.php" ></script> 直接引入就可以跨域

2)ajax jsonp  下面是例子
js 代码
$(function(){
     $.ajax({
                 type: "get",
                 async: false,
                 url: "http://www.57lehuo.com/index.php?a=index&m=api&method=itemsSearchGet&keyword=连衣裙&sign=5cb85c3eed22c1908e05c584813c8dd2",
                 dataType: "jsonp",
                 jsonp: "callback",//传递给请求处理程序或页面的,用以获得jsonp回调函数名的参数名(一般默认为:callback)
                 jsonpCallback:"itemsSearchGet",//自定义的jsonp回调函数名称,默认为jQuery自动生成的随机函数名,也可以写"?",jQuery会自动为你处理数据

                 success: function(json){    
                    alert(json['result'][0].title);    

    //这里面 与 普通的  ajax一样 获取 result.键名  就是返回过来json值

                    
                 },
                 error: function(){
                     alert('fail');
                 }
    })
})

 后台php代码
    Php代码  收藏代码

  1. <?php  

  2.   

  3. //这里为什么没有加下面的允许其它的域名访问的功能

  4. //这里是不需要的 这里本质上不是 ajax 调用 而是

  5. //<script src="服务器的url"></script>,如果 使用

  6. // 

    header("Access-Control-Allow-Origin: *");
    //见 /node-admin/3124 它应该才是 相当于ajax调用  

  7. //header("Access-Control-Allow-Origin: *");

  8. //服务端返回JSON数据  

  9. $arr=array('a'=>1,'b'=>2,'c'=>3,'d'=>4,'e'=>5);  

  10. $result=json_encode($arr);  

  11. //echo $_GET['callback'].'("Hello,World!")';  

  12. //echo $_GET['callback']."($result)";  

  13. //动态执行回调函数  

  14. $callback=$_GET['callback'];  

  15. echo $callback."($result)";  

 





Asynchronous JavaScript and XML (Ajax ) 是驱动新一代 Web 站点(流行术语为 Web 2.0 站点)的关键技术。Ajax 允许在不干扰 Web 应用程序的显示和行为的情况下在后台进行数据检索。使用 XMLHttpRequest 函数获取数据,它是一种 API,允许客户端 JavaScript 通过 HTTP 连接到远程服务器。Ajax 也是许多 mashup 的驱动力,它可将来自多个地方的内容集成为单一 Web 应用程序。

 

不过,由于受到浏览器的限制,该方法不允许跨域通信。如果尝试从不同的域请求数据,会出现安全错误。如果能控制数 据驻留的远程服务器并且每个请求都前往同一域,就可以避免这些安全错误。但是,如果仅停留在自己的服务器上,Web 应用程序还有什么用处呢?如果需要从多个第三方服务器收集数据时,又该怎么办?

 

理解同源策略限制

同源策略阻止从一个域上加载的脚本获取或操作另一个域上的文档属性。也就是说,受到请求的 URL 的域必须与当前 Web 页面的域相同。这意味着浏览器隔离来自不同源的内容,以防止它们之间的操作。这个浏览器策略很旧,从 Netscape Navigator 2.0 版本开始就存在。

 

克服该限制的一个相对简单的方法是让 Web 页面向它源自的 Web 服务器请求数据,并且让 Web 服务器像代理一样将请求转发给真正的第三方服务器。尽管该技术获得了普遍使用,但它是不可伸缩的。另一种方式是使用框架要素在当前 Web 页面中创建新区域,并且使用 GET 请求获取任何第三方资源。不过,获取资源后,框架中的内容会受到同源策略的限制。

 

克服该限制更理想方法是在 Web 页面中插入动态脚本元素,该页面源指向其他域中的服务 URL 并且在自身脚本中获取数据。脚本加载时它开始执行。该方法是可行的,因为同源策略不阻止动态脚本插入,并且将脚本看作是从提供 Web 页面的域上加载的。但如果该脚本尝试从另一个域上加载文档,就不会成功。幸运的是,通过添加 JavaScript Object Notation (JSON) 可以改进该技术。

 

1、什么是JSONP?

 

要了解JSONP,不得不提一下JSON,那么什么是JSON ?

JSON is a subset of the object literal notation of JavaScript. Since JSON is a subset of JavaScript, it can be used in the language with no muss or fuss.

JSONP(JSON with Padding)是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问(这仅仅是JSONP简单的实现形式)。

 

2、JSONP有什么用?

由于同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端口)的资源,为了实现跨域请求,可以通过script标签实现跨域请求,然后在服务端输出JSON数据并执行回调函数,从而解决了跨域的数据请求。

 

3、如何使用JSONP?

下边这一DEMO实际上是JSONP的简单表现形式,在客户端声明回调函数之后,客户端通过script标签向服务器跨域请求数据,然后服务端返回相应的数据并动态执行回调函数。

 

HTML代码 (任一 ):

 

Html代码  收藏代码
  1. <meta content="text/html; charset=utf-8" http-equiv="Content-Type" />  

  2. <script type="text/javascript">  

  3.     function jsonpCallback(result) {  

  4.         //alert(result);  

  5.         for(var i in result) {  

  6.             alert(i+":"+result[i]);//循环输出a:1,b:2,etc.  

  7.         }  

  8.     }  

  9.     var JSONP=document.createElement("script");  

  10.     JSONP.type="text/javascript";  

  11.     JSONP.src="http://crossdomain.com/services.php?callback=jsonpCallback";  

  12.     document.getElementsByTagName("head")[0].appendChild(JSONP);  

  13. </script>  

 

或者

 

Html代码  收藏代码
  1. <meta content="text/html; charset=utf-8" http-equiv="Content-Type" />  

  2. <script type="text/javascript">  

  3.     function jsonpCallback(result) {  

  4.         alert(result.a);  

  5.         alert(result.b);  

  6.         alert(result.c);  

  7.         for(var i in result) {  

  8.             alert(i+":"+result[i]);//循环输出a:1,b:2,etc.  

  9.         }  

  10.     }  

  11. </script>  

  12. <script type="text/javascript" src="http://crossdomain.com/services.php?callback=jsonpCallback"></script>  

 

JavaScript的链接,必须在function的下面。

 

服务端PHP代码 (services.php):

 

Php代码  收藏代码
  1. <?php  

  2.   

  3. //服务端返回JSON数据  

  4. $arr=array('a'=>1,'b'=>2,'c'=>3,'d'=>4,'e'=>5);  

  5. $result=json_encode($arr);  

  6. //echo $_GET['callback'].'("Hello,World!")';  

  7. //echo $_GET['callback']."($result)";  

  8. //动态执行回调函数  

  9. $callback=$_GET['callback'];  

  10. echo $callback."($result)";  

 

如果将上述JS客户端代码用jQuery的方法来实现,也非常简单。

 

$.getJSON
$.ajax
$.get

 

客户端JS代码在jQuery中的实现方式1:

 

Js代码  收藏代码
  1. <script type="text/javascript" src="jquery.js"></script>  

  2. <script type="text/javascript">  

  3.     $.getJSON("http://crossdomain.com/services.php?callback=?",  

  4.     function(result) {  

  5.         for(var i in result) {  

  6.             alert(i+":"+result[i]);//循环输出a:1,b:2,etc.  

  7.         }  

  8.     });  

  9. </script>  

 

客户端JS代码在jQuery中的实现方式2:

 

Js代码  收藏代码
  1. <script type="text/javascript" src="jquery.js"></script>  

  2. <script type="text/javascript">  

  3.     $.ajax({  

  4.         url:"http://crossdomain.com/services.php",  

  5.         dataType:'jsonp',  

  6.         data:'',  

  7.         jsonp:'callback',  

  8.         success:function(result) {  

  9.             for(var i in result) {  

  10.                 alert(i+":"+result[i]);//循环输出a:1,b:2,etc.  

  11.             }  

  12.         },  

  13.         timeout:3000  

  14.     });  

  15. </script>  

 

客户端JS代码在jQuery中的实现方式3:

 

Js代码  收藏代码
  1. <script type="text/javascript" src="jquery.js"></script>  

  2. <script type="text/javascript">  

  3.     $.get('http://crossdomain.com/services.php?callback=?', {name: encodeURIComponent('tester')}, function (json) { for(var i in json) alert(i+":"+json[i]); }, 'jsonp');  

  4. </script>  

 

其中 jsonCallback 是客户端注册的,获取 跨域服务器 上的json数据 后,回调的函数。
http://crossdomain.com/services.php?callback=jsonpCallback
这个 url 是跨域服务 器取 json 数据的接口,参数为回调函数的名字,返回的格式为

 

Js代码  收藏代码
  1. jsonpCallback({msg:'this is json data'})  

 

Jsonp原理: 
首先在客户端注册一个callback, 然后把callback的名字传给服务器。

此时,服务器先生成 json 数据。
然后以 javascript 语法的方式,生成一个function , function 名字就是传递上来的参数 jsonp.

最后将 json 数据直接以入参的方式,放置到 function 中,这样就生成了一段 js 语法的文档,返回给客户端。

客户端浏览器,解析script标签,并执行返回的 javascript 文档,此时数据作为参数,传入到了客户端预先定义好的 callback 函数里.(动态执行回调函数)

 

使用JSON的优点在于:

  • 比XML轻了很多,没有那么多冗余的东西。

  • JSON也是具有很好的可读性的,但是通常返回的都是压缩过后的。不像XML这样的浏览器可以直接显示,浏览器对于JSON的格式化的显示就需要借助一些插件了。

  • 在JavaScript中处理JSON很简单。

  • 其他语言例如PHP对于JSON的支持也不错。

JSON也有一些劣势:

  • JSON在服务端语言的支持不像XML那么广泛,不过JSON.org上提供很多语言的库。

  • 如果你使用eval()来解析的话,会容易出现安全问题。

尽管如此,JSON的优点还是很明显的。他是Ajax数据交互的很理想的数据格式。

 

主要提示:

JSONP 是构建 mashup 的强大技术,但不幸的是,它并不是所有跨域通信需求的万灵药。它有一些缺陷,在提交开发资源之前必须认真考虑它们。

 

第一,也是最重要的一点,没有关于 JSONP 调用的错误处理。如果动态脚本插入有效,就执行调用;如果无效,就静默失败。失败是没有任何提示的。例如,不能从服务器捕捉到 404 错误,也不能取消或重新开始请求。不过,等待一段时间还没有响应的话,就不用理它了。(未来的 jQuery 版本可能有终止 JSONP 请求的特性)。

 

JSONP 的另一个主要缺陷是被不信任的服务使用时会很危险。因为 JSONP 服务返回打包在函数调用中的 JSON 响应,而函数调用是由浏览器执行的,这使宿主 Web 应用程序更容易受到各类攻击。如果打算使用 JSONP 服务,了解它能造成的威胁非常重要。

 

 

关联:

征服 Ajax 应用程序的安全威胁

防止伪造跨站请求

来自 http://justcoding.iteye.com/blog/1366102/



下面是jsonp的原理

时间过得好快,又被拉回js战场时, 跨域问题这个伤疤又开疼了.

好在,有jquery帮忙,跨域问题似乎没那么难缠了.这次也借此机会对跨域问题来给刨根问底,结合实际的开发项目,查阅了相关资料,算是解决了跨域问题..有必要记下来备忘.

跨域的安全限制都是指浏览器端来说的.服务器端是不存在跨域安全限制的,所以通过本机服务器端通过类似httpclient方式完成“跨域访问”的工作,然后在浏览器端用AJAX获取本机服务器端“跨域访问”对应的url.来间接完成跨域访问也是可以的.但很显然开发量比较大,但限制也最少,很多widget开放平台server端(如sohu博客开放平台)其实就么搞的.不在本次讨论范围.

要讨论的是浏览器端的真正跨域访问,推荐的是目前jQuery $.ajax()支持get方式的跨域,这其实是采用jsonp的方式来完成的.

真实案例:

复制代码代码如下:

var qsData = {'searchWord':$("#searchWord").attr("value"),'currentUserId':$("#currentUserId").attr("value"),'conditionBean.pageSize':$("#pageSize").attr("value")};

 

$.ajax({
   async:false,
   url: http://跨域的dns/document!searchJSONResult.action,
   type: "GET",
   dataType: 'jsonp',
   jsonp: 'jsoncallback',
   data: qsData, 

 //好像这里只能放一下参数 换句话说  qsData 是多个键值对是错的
 /node-admin/2838 

   timeout: 5000,
   beforeSend: function(){
   //jsonp 方式此方法不被触发.原因可能是dataType如果指定为jsonp的话,就已经不是ajax事件了
   },
   success: function (json) {//客户端jquery预先定义好的callback函数,成功获取跨域服务器上的json数据后,会动态执行这个callback函数
    if(json.actionErrors.length!=0){
           alert(json.actionErrors);
     }
       genDynamicContent(qsData,type,json);
   },
    complete: function(XMLHttpRequest, textStatus){
    $.unblockUI({ fadeOut: 10 }); 
   },
   error: function(xhr){
    //jsonp 方式此方法不被触发.原因可能是dataType如果指定为jsonp的话,就已经不是ajax事件了
    //请求出错处理
    alert("请求出错(请检查相关度网络状况.)");
   }
});


注意:

复制代码代码如下:

$.getJSON(" http://跨域的dns/document!searchJSONResult.action?name1="+value1+"&jsoncallback=?",
      function(json){
      if(json.属性名==值){
      // 执行代码
            }
        });


这种方式其实是上例$.ajax({..}) api的一种高级封装,有些$.ajax api底层的参数就被封装而不可见了.
这样,jquery就会拼装成如下的url get请求
http://跨域的dns/document!searchJSONResult.action?&jsoncallback=jsonp1236827957501&_=1236828192549&searchWord=%E7%94%A8%E4%BE%8B¤tUserId=5351&conditionBean.pageSize=15

 

在响应端(http://跨域的dns/document!searchJSONResult.action),
通过 jsoncallback = request.getParameter("jsoncallback") 得到jquery端随后要回调的js function name:jsonp1236827957501
然后 response的内容为一个Script Tags:"jsonp1236827957501("+按请求参数生成的json数组+")"; 
jquery就会通过回调方法动态加载调用这个js tag:jsonp1236827957501(json数组); 
这样就达到了跨域数据交换的目的.

jsonp的最基本的原理是:动态添加一个<script>标签,而script标签的src属性是没有跨域的限制的。这样说来,这种跨域方式其实与ajax XmlHttpRequest协议无关了.
这样其实"jQuery AJAX跨域问题"就成了个伪命题了,jquery $.ajax方法名有误导人之嫌.

如果设为dataType: 'jsonp', 这个$.ajax方法就和ajax XmlHttpRequest没什么关系了,取而代之的则是JSONP协议.

JSONP是一个非官方的协议,它允许在服务器端集成Script tags返回至客户端,通过javascript callback的形式实现跨域访问JSONP即JSON with Padding。由于同源策略的限制,XmlHttpRequest只允许请求当前源(域名、协议、端口)的资源。如果要进行跨域请求,我们可以通过使用html的script标记来进行跨域请求,并在响应中返回要执行的script代码,其中可以直接使用JSON传递javascript对象。这种跨域的通讯方式称为JSONP。

jsonCallback 函数jsonp1236827957501(....): 是浏览器客户端注册的,获取跨域服务器上的json数据后,回调的函数

Jsonp原理:

首先在客户端注册一个callback (如:'jsoncallback'), 然后把callback的名字(如:jsonp1236827957501)传给服务器。注意:服务端得到callback的数值后,要用jsonp1236827957501(......)把将要输出的json内容包括起来,此时,服务器生成 json 数据才能被客户端正确接收。

然后以 javascript 语法的方式,生成一个function , function 名字就是传递上来的参数 'jsoncallback'的值 jsonp1236827957501 .

最后将 json 数据直接以入参的方式,放置到 function 中,这样就生成了一段 js 语法的文档,返回给客户端。

客户端浏览器,解析script标签,并执行返回的 javascript 文档,此时javascript文档数据,作为参数,
传入到了客户端预先定义好的 callback 函数(如上例中jquery $.ajax()方法封装的的success: function (json))里.(动态执行回调函数)

可以说jsonp的方式原理上和<script src="http://跨域/...xx.js"></script>是一致的(qq空间就是大量采用这种方式来实现跨域数据交换的) .JSONP是一种脚本注入(Script Injection)行为,所以也有一定的安全隐患.

原理的示例代码:

复制代码代码如下:

//客户端的JAVASCRIPT代码 
var script=document.createElement("script"); 
script.src="http://www.pl4cj.com:8888/5/6/action.php?param=123&callback="+fnName; 
document.getElementsByTagName("head")[0].appendChild(script) 

//服务器端的PHP代码,一定要有callback来进行回调,在这里加上括号,是让它以语句块的方式来进行解析 
<?php 
<SPAN style="COLOR: #ff00ff">echo $_GET["callback"]."(".json_encode($_GET).");"; 
</SPAN>?


注意,jquey是不支持post方式跨域的.

 

为什么呢?
虽然采用post +动态生成iframe是可以达到post跨域的目的,但这样做是一个比较极端的方式,不建议采用.
也可以说get方式的跨域是合法的,post方式从安全角度上,被认为是不合法的, 万不得已还是不要剑走偏锋..

client端跨域访问的需求看来也引起w3c的注意了,看资料说html5 WebSocket标准支持跨域的数据交换,应该也是一个将来可选的跨域数据交换的解决方案

来自 http://www.jb51.net/article/46463.htm

 

跨域JSONP原理及调用具体示例

 6829人阅读 评论(3) 收藏 举报
 分类:
  上篇博客介绍了同源策略和跨域访问概念,其中提到跨域常用的基本方式:JSONP和CORS。
  那这篇博客就介绍JSONP方式。
  JSONP原理
  在同源策略下,在某个服务器下的页面是无法获取到该服务器以外的数据的,但img、iframe、script等标签是个例外,这些标签可以通过src属性请求到其他服务器上的数据。
  而JSONP就是通过script节点src调用跨域的请求。
  当我们通过JSONP模式请求跨域资源时,服务器返回给客户端一段javascript代码,这段javascript代码自动调用客户端回调函数。
  举个例子
  客户端http://localhost:8080访问服务器http://localhost:11111/user,正常情况下,这是不允许的。因为这两个URL是不同域的。
  
  若我们使用JSONP格式发送请求的话?
  则服务器返回的数据如下:
  callbackfunction({"id":1,"name":"test"})
  仔细看看服务器返回的数据,其实就是一段javascript代码,这就是函数名(参数)格式。
  服务器返回后,则自动执行callbackfunction函数。
  因此,客户端需要callbackfunction函数,以便使用JSONP模式返回javascript代码后自动执行其回调函数。
 
  注意:其中url地址中的callback和callbackfunction是随意命名的。
  
  具体的JS实现JSONP代码。
  JS中:
   
[html] view plain copy
 
 print?
  1.   <script>  

  2.   var url = "http://localhost:8080/crcp/rcp/t99eidt/testjson.do?jsonp=callbackfunction";   

  3.   var script = document.createElement('script');   

  4.   script.setAttribute('src', url);  //load javascript    

  5.   document.getElementsByTagName('head')[0].appendChild(script);   

  6.   

  7.   //回调函数  

  8.    function callbackfunction(data){  

  9. var html=JSON.stringify(data.RESULTSET);  

  10. alert(html);  

  11.      }  

  12.   </script>  

  
  服务器代码Action:
  后台返回的json外面需要由回调函数包裹。具体的方法如下:
  
[html] view plain copy
 
 print?
  1. public class TestJson extends ActionSupport{  

  2.   

  3.     @Override  

  4.     public String execute() throws Exception {  

  5.         try {  

  6.             JSONObject jsonObject=new JSONObject();  

  7.             List list=new ArrayList();  

  8.             for(int i=0;i<4;i++){  

  9.                 Map paramMap=new HashMap();  

  10.                 paramMap.put("bank_no", 100+i);  

  11.                 paramMap.put("money_type", i);  

  12.                 paramMap.put("bank_name", i);  

  13.                 paramMap.put("bank_type", i);  

  14.                 paramMap.put("bank_status", 0);  

  15.                 paramMap.put("en_sign_ways", 1);  

  16.                 list.add(paramMap);  

  17.             }  

  18.             JSONArray rows=JSONArray.fromObject(list);  

  19.             jsonObject.put("RESULTSET", rows);  

  20.             HttpServletRequest request=ServletActionContext.getRequest();  

  21.             HttpServletResponse response=ServletActionContext.getResponse();  

  22.             response.setContentType("text/javascript");  

  23.               

  24.               

  25.             boolean jsonP = false;  

  26.             String cb = request.getParameter("jsonp");  

  27.             if (cb != null) {  

  28.                 jsonP = true;  

  29.                 System.out.println("jsonp");  

  30.                 response.setContentType("text/javascript");  

  31.             } else {  

  32.                 System.out.println("json");  

  33.                 response.setContentType("application/x-json");  

  34.             }  

  35.             response.setCharacterEncoding("UTF-8");  

  36.             Writer out = response.getWriter();  

  37.             if (jsonP) {  

  38.                 out.write(cb + "("+jsonObject.toString()+")");  

  39.                 System.out.println(jsonObject.toString());  

  40.             }  

  41.             else{  

  42.                 out.write(jsonObject.toString());  

  43.                  System.out.println(jsonObject.toString());  

  44.             }  

  45.         } catch (Exception e) {  

  46.             e.printStackTrace();  

  47.         }  

  48.          

  49.         return null;  

  50.     }  

  51. }  

 
 JQUERY实现JSONP代码。
 Jquery从1.2版本开始也支持JSONP的实现。
[html] view plain copy
 
 print?
  1. $(function(){  

  2.      jQuery.getJSON("http://localhost:8080/crcp/rcp/t99eidt/testjson.do?jsonp=?",function(data)  

  3. {   

  4.   var html=JSON.stringify(data.RESULTSET);  

  5. $("#testjsonp").html(html);  

  6. }  

  7.      );   

  8. });  

  第一个?代表后面是参数,与咱们一般调用一样。重要的是第二个?,则是jquery动态给你生成毁掉函数名称。
至于后台代码和上述一致,使用同一个后台。
 
JQUERY中Ajax实现JSONP代码。
[html] view plain copy
 
 print?
  1.  $.ajax({  

  2. type:"GET",  

  3. async :false,  

  4. url:"http://localhost:8080/crcp/rcp/t99eidt/testjson.do",  

  5. dataType:"jsonp",  

  6. success:function(data){  

  7. var html=JSON.stringify(data.RESULTSET);  

  8. $("#testjsonp").html(html);  

  9. },  

  10. error:function(){  

  11. alert("error");  

  12. }  

  13.   

  14. });  

    注意:这种形式,默认的参数是callback,而不是会是其他。则action代码中获取calback值则
    String cb=request.getParameter("callback");
    并且生成的回调函数,默认也是类似上述一大串数字。
    根据Ajax手册,更改callback名称以及回调函数名称。
    jsonpCallback:callbackfunction,则请求的地址为:
    最后返回前台的是:
    callbackfunction(具体的json值)
 
    其中上述JS实现JSONP代码中,若不是动态拼接script脚本,而是直接写script标签,类似如下:
   <script type="text/javascript" src=""></script>
   若这样写的话,通过debug发现,的确正确返回了,但是一直提示找不到回调函数。即使js也提供了回调函数【各个浏览器都测试】
   若要通过JS来显示,则通过代码动态create script标签。
 
   JSONP跨域方式,很方便,同时也支持大多部分浏览器,但是唯一缺点是,只支持GET提交方式,不支持其他POST提交。
   若url地址传输的参数过多,如何实现呢?下篇博客会讲解另一种跨域方案CROS原理以及具体调用示例。

来自 http://blog.csdn.net/yuebinghaoyuan/article/details/32706277


普通分类: