JavaScript之JSONP跨域

時間 2020-02-24

原文原文鏈接

前言

Jsonp是一種跨域通訊的手段javascript

原理

原理：
事先定義一個用於獲取跨域響應數據的回調函數，並經過沒有同源策略限制的script標籤發起一個請求（將回調函數的名稱放到這個請求的query參數裏），而後服務端返回這個回調函數的執行，並將須要響應的數據放到回調函數的參數裏，前端的script標籤請求到這個執行的回調函數後會立馬執行，因而就拿到了執行的響應數據。html

缺點：
JSONP只能發起GET請求前端

實現

第一步：設定一個script標籤java

<script src="http://jsonp.js?callback=cb"></script>

// 或

let script = document.createElement('script');
script.src = "http://jsonp.js?callback=cb";
body.append(script)

第二步：callback定義了一個函數名，而遠程服務端經過調用指定的函數並傳入參數來實現傳遞參數，將function(response)傳遞迴客戶端面試

router.get('/', function(req, res, next) {
  (()=>{
    const data = {
      x: 10,
    };
    let params = req.query;
    if(params.callback){
      let callback = params.callback;
      console.log(params.callback);
      res.send(`${callback}(${JSON.stringify(data.x)})`);
    } else {
      res.send('err')
    }
  })();
});

第三步：客戶端接收到返回的js腳本，開始解析和執行function(response)json

簡單的實例：

來看一個一個簡單的jsonp實現，其實就是拼接url，而後將動態添加一個script元素到頭部。segmentfault

function jsonp(req){
    var script = document.createElement('script');
    var url = req.url + '?callback=' + req.callback.name;
    script.src = url;
    document.getElementsByTagName('head')[0].appendChild(script); 
}

前端js示例：跨域

function hello(res){
    alert('hello ' + res.data);
}
jsonp({
    url : '',
    callback : hello 
});

服務器端代碼：安全

var http = require('http');
var urllib = require('url');

var port = 8080;
var data = {'data':'world'};

http.createServer(function(req,res){
    var params = urllib.parse(req.url,true);
    if(params.query.callback){
        console.log(params.query.callback);
        //jsonp
        var str = params.query.callback + '(' + JSON.stringify(data) + ')';
        res.end(str);
    } else {
        res.end();
    }
    
}).listen(port,function(){
    console.log('jsonp server is on');
});

可靠的jsonp實例：

(function (global) {
    var id = 0,
        container = document.getElementsByTagName("head")[0];

    function jsonp(options) {
        if(!options || !options.url) return;

        var scriptNode = document.createElement("script"),
            data = options.data || {},
            url = options.url,
            callback = options.callback,
            fnName = "jsonp" + id++;

        // 添加回調函數
        data["callback"] = fnName;

        // 拼接url
        var params = [];
        for (var key in data) {
            params.push(encodeURIComponent(key) + "=" + encodeURIComponent(data[key]));
        }
        url = url.indexOf("?") > 0 ? (url + "&") : (url + "?");
        url += params.join("&");
        scriptNode.src = url;

        // 傳遞的是一個匿名的回調函數，要執行的話，暴露爲一個全局方法
        global[fnName] = function (ret) {
            callback && callback(ret);
            container.removeChild(scriptNode);
            delete global[fnName];
        }

        // 出錯處理
        scriptNode.onerror = function () {
            callback && callback({error:"error"});
            container.removeChild(scriptNode);
            global[fnName] && delete global[fnName];
        }

        scriptNode.type = "text/javascript";
        container.appendChild(scriptNode)
    }

    global.jsonp = jsonp;

})(this);

使用示例：服務器

jsonp({
    url : "www.example.com",
    data : {id : 1},
    callback : function (ret) {
        console.log(ret);
    }
});

JSONP安全性問題

CSRF攻擊

前端構造一個惡意頁面，請求JSONP接口，收集服務端的敏感信息。若是JSONP接口還涉及一些敏感操做或信息（好比登陸、刪除等操做），那就更不安全了。

解決方法：驗證JSONP的調用來源（Referer），服務端判斷Referer是不是白名單，或者部署隨機Token來防護。

XSS漏洞

不嚴謹的 content-type致使的 XSS 漏洞，想象一下 JSONP 就是你請求 http://youdomain.com?callback... 而後返回 douniwan({ data })，那假如請求 http://youdomain.com?callback=<script>alert(1)</script> 不就返回 <script>alert(1)</script>({ data })了嗎，若是沒有嚴格定義好 Content-Type（ Content-Type: application/json ），再加上沒有過濾 callback 參數，直接當 html 解析了，就是一個赤裸裸的 XSS 了。

解決方法：嚴格定義 Content-Type: application/json，而後嚴格過濾 callback 後的參數而且限制長度（進行字符轉義，例如<換成&lt，>換成&gt）等，這樣返回的腳本內容會變成文本格式，腳本將不會執行。