搜索

JSONP浏览器安全模型规定

联合创作 · 2023-09-21 22:58

JSONP (JSON with Padding) 是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域获取资料。另一个解决这个问题的新方法是跨来源资源共享。


浏览器安全模型规定,XMLHttpRequest、框架(frame)等只能在一个域中通信。从安全角度考虑,这个规定很合理;但是,也确实给分布式(面向服务、混搭等等本周提到的概念)Web开发带来了麻烦。


为了实现跨域通信,通常的解决方案有3种:


本地代理:
需要一些硬件设施(没有服务器的客户端无法运行),并且带宽和潜伏时间也要加倍(远程服务器-代理服务器-客户端)。


Flash:
远程主机中需要部署一个crossdomain.xml文件,而且,Flash作为一门专有技术,其前途尚不明朗;换句话说,开发人员很可能要学习一种目标不确定的编程语言。


Script标签:
无法确切知道内容是否有效,没有标准的实现方法,又可能被认为是一种“安全风险”。


 



在此,我建议使用一种新技术,也是一种独立于标准的方法,即通过script标签来跨域获取数据,名为JSON with Padding,或者就叫JSONP。JSONP的原理很简单,但需要服务器端给予相应配合。大致来说,JSONP的实现思路就是在客户端编程时作好使用JSON数据的准备,然后再通过圆括号将这些数据括起来以创建一条有效的JavaScript语句(可能是一次有效的函数调用)。


也就是说,客户端可以使用一个用于命名jsonp的查询参数来决定可以获取的数据。最简单的情况下,如果jsonp参数为空,则返回的数据就是被括在圆括号中的JSON。


下面,我们就以del.icio.us的JSON API为例,来说明JSONP的原理。该API有一个“script tag”变量(即,可以将下面的URL作为script标签的src属性值,用以加载del.icio.us这个API提供的数据。——译者注)如下所示:


http://del.icio.us/feeds/json/bob/mochikit+interpreter:




  1. if(typeof(Delicious) == 'undefined') Delicious = {};

  2. Delicious.posts = [{

  3. "u": "http://mochikit.com/examples/interpreter/index.html",

  4. "d": "Interpreter - JavaScript Interactive Interpreter",

  5. "t": [

  6. "mochikit","webdev","tool","tools",

  7. "javascript","interactive","interpreter","repl"

  8. ]

  9. }]



如果用JSONP的方式来表示,那么与此具有相同语义的URL应该是这样的:


http://del.icio.us/feeds/json/bob/mochikit+interpreter?
jsonp=if(typeof(Delicious)%3D%3D%27undefined%27)
Delicious%3D%7B%7D%3BDelicious.posts%3D


单纯看这个URL似乎没有什么,但我们可以要求服务器在数据有效时给出通知。因此,我可以编写一个用于跟踪数据的小系统:




  1. var delicious_callbacks = {};

  2. function getDelicious(callback, url) {

  3. var uid = (new Date()).getTime();

  4. delicious_callbacks[uid] = function () {

  5. delete delicious_callbacks[uid];

  6. callback();

  7. };

  8. url += "?jsonp=" + encodeURIComponent("delicious_callbacks[" + uid + "]");

  9. // 手工输入代码,向文档中插入script标签

  10. };

  11.  

  12. getDelicious(doSomething, "http://del.icio.us/feeds/json/bob/mochikit+interpreter");



根据以上假设,用于获取数据的URL应该如下所示:
http://del.icio.us/feeds/json/bob/mochikit+interpreter?jsonp=delicious_callbacks%5B12345%5D




  1. delicious_callbacks[12345]([{

  2. "u": "http://mochikit.com/examples/interpreter/index.html",

  3. "d": "Interpreter - JavaScript Interactive Interpreter",

  4. "t": [

  5. "mochikit","webdev","tool","tools",

  6. "javascript","interactive","interpreter","repl"

  7. ]

  8. }])



可见,由于使用圆括号括住了返回的数据,这就相当于把一个JSONP请求转化成了一次函数调用,或者得到了一个纯粹的JSON直接量。服务器所要配合做的,就是在JSON数据的开头添加一小段文本(即回调函数的名称。——译者注)并将JSON数据放在括号中!


当然,接下来最好是使用Mochikit、Dojo等框架来抽象JSONP,从而让自己省去动手编写DOM以插入script标签的麻烦。


没错,JSONP只是解决了标准化的问题。假如远程主机想通过script标签向页面中注入恶意代码,而不是返回JSON数据,那么页面安全可能会 随时受到威胁。不过,一旦实现了JSONP,那么对开发人员来说肯定是一件省时省力的大好事,在此基础上各种一般化的抽象、教程及文档也会应运而生的。

浏览 18
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报
评论
图片
表情
推荐
Cloudopt AdBlockerWeb 浏览器安全扩展
CloudoptAdBlocker是基于AdguardBrowserExtension浏览器安全扩展,功能包括防止追迹、恶意域名、过滤横幅广告、弹窗广告等。可以做到:拦截常见广告。加速页面载入,节省带
瑞星卡卡安全浏览器
瑞星卡卡安全浏览器是一款基于Firefox 3开源代码而设计的浏览器,为用户提供了最佳的Web浏览体
瑞星卡卡安全浏览器
瑞星卡卡安全浏览器是一款基于Firefox3开源代码而设计的浏览器,为用户提供了最佳的Web浏览体验。性能表现:由于建立在功能强大的新的Gecko1.9引擎之上,瑞星卡卡安全浏览器整体表现更安全、更易
Cloudopt AdBlockerWeb 浏览器安全扩展
Cloudopt AdBlocker 是基于 AdguardBrowserExtension 浏览器
【JavaScript 教程】浏览器模型—Web Worker
web前端开发
0
电子书丨《白帽子讲浏览器安全》
博文视点Broadview
0
fetch-jsonp-polyfill支持 jsonp 的Fetch polyfill
fetch-jsonp-polyfill 是对原生FetchAPI的扩展,使之支持jsonp。下载地址 https://github.com/fetch-extras/fetch-jsonp-poly
fetch-jsonp-polyfill支持 jsonp 的Fetch polyfill
fetch-jsonp-polyfill 是对原生 Fetch API 的扩展,使之支持 jsonp
永久免费的360安全浏览器,也要收费?
养码场
0
TensorFlow.js在浏览器中训练和部署 ML 模型
TensorFlow.js是一个开源硬件加速JavaScript库,用于训练和部署机器学习模型。TensorFlow.js可用于:在浏览器中创建模型TensorFlow.js的API灵活且直观,可以使
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报