JSONP(JSON with Padding)是一种解决跨域请求的方法,它利用了script标签不受同源策略限制的特性,使得客户端可以请求跨域的JSON数据。同源策略是浏览器的一个安全机制,它阻止了网页的脚本向非同源服务器发送请求。JSONP的实现原理是通过动态创建script标签,并将其src属性设置为目标URL,然后将该标签插入到文档中,从而触发HTTP GET请求。
当服务器响应请求时,它会返回一段JavaScript代码,这段代码包含了一个回调函数的调用,函数中包含了JSON数据。客户端脚本执行这段返回的代码时,实际上是执行了这个回调函数,并将JSON数据作为参数传递给该函数。这样就可以在不违反同源策略的情况下实现跨域通信。
在JSONP请求中,通常会在请求的URL中添加一个查询参数,例如"?jsonp"或者 "&jsonp",用来指定服务器应该调用的回调函数的名称。支持JSONP的服务端API会检查这个参数,并将响应数据格式化为调用该回调函数的形式。
例如,当客户端发起一个JSONP请求到服务端时,如果请求的URL为:
```
***
```
服务端可能会返回如下格式的响应数据:
```
handleResponse([1, 2, {"hello": "world"}]);
```
这里`handleResponse`是客户端预先定义好的回调函数,服务端通过返回这个函数调用并传递JSON数据,客户端的JavaScript代码能够执行这个函数,并获得JSON数据。
为了在客户端实现JSONP请求,可以编写一个`getJSONP`函数,该函数接收请求的URL和一个回调函数作为参数。`getJSONP`函数内部会生成一个唯一的回调函数名,并将这个名称附加到请求的URL中。接着,它会创建一个script标签并设置其src属性为修改后的URL,将这个标签添加到文档的body中以触发请求。一旦script标签加载完成并执行了返回的代码,就会调用客户端定义的回调函数,并传递响应的JSON数据。
值得注意的是,在JSONP请求完成后,应当立即删除script标签并清理回调函数以防止内存泄漏,并且确保回调函数的名称是唯一的,避免与全局作用域中的其他变量或函数发生冲突。
JSONP虽然是一种简单有效的跨域请求技术,但它也有局限性。由于使用了script标签,因此无法发送POST请求,只能发送GET请求。此外,JSONP请求的安全性不如CORS(跨源资源共享),因为服务端对于请求的来源不做验证。因此,在实际开发中,如果服务端支持,更推荐使用CORS来处理跨域请求问题。
