JSONP是數據格式JSON的一種“使用模式”����,可以讓網頁從別的網域要數據���,利用script元素開放策略����,網頁可以從其他來源動態產生的JSON數據���,而這種使用模式就是所謂的 JSONP����。
JSONP 是數據格式 JSON 的一種“使用模式”���,可以讓網頁從別的網域要數據����。另一個解決這個問題的新方法是跨來源資源共享����。利用 script 元素的這個開放策略���,網頁可以得到從其他來源動態產生的 JSON 數據�����,而這種使用模式就是所謂的 JSONP����。用 JSONP 抓到的數據并不是 JSON��,而是任意的 JavaScript��,用 JavaScript 解釋器運行而不是用 JSON 解析器解析���。
為了要引導一個 JSONP 調用(或者說�����,使用這個模式)���,你需要一個 script 元素����。因此�����,瀏覽器必須為每一個 JSONP 要求加(或是重用)一個新的����、有所需 src 值的 script 元素到 HTML DOM 里—或者說是“注入”這個元素����。瀏覽器運行該元素�,抓取 src 里的 URL��,并運行回傳的 JavaScript�����。
也因為這樣���,JSONP 被稱作是一種“讓用戶利用 script 元素注入的方式繞開同源策略”的方法����。
安全問題
使用遠程網站的 script 標簽會讓遠程網站得以注入任何的內容至網站里�����。如果遠程的網站有 JavaScript 注入漏洞�,原來的網站也會受到影響�。
現在有一個正在進行項目在定義所謂的 JSON-P 嚴格安全子集���,使瀏覽器可以對 MIME 類別是“application/json-p”請求做強制處理���。如果回應不能被解析為嚴格的 JSON-P��,瀏覽器可以丟出一個錯誤或忽略整個回應�����。
跨站請求偽造
粗略的 JSONP 部署很容易受到跨站請求偽造(CSRF/XSRF)的攻擊��。因為 HTML script 標簽在瀏覽器里不遵守同源策略�,惡意網頁可以要求并獲取屬于其他網站的 JSON 數據�。當用戶正登錄那個其他網站時���,上述狀況使得該惡意網站得以在惡意網站的環境下操作該 JSON 數據�,可能泄漏用戶的密碼或是其他敏感數據�����。
只有在該 JSON 數據含有不該泄漏給第三方的隱密數據���,且服務器僅靠瀏覽器的同源策略阻擋不正常要求的時候這才會是問題�。若服務器自己決定要求的專有性�,并只在要求正常的情況下輸出數據則沒有問題��。只靠 Cookie 并不夠決定要求是合法的�����,這很容易受到跨站請求偽造攻擊���。
