1

考虑到安全问题,一个域名的js只能发起对自己的域名的请求,否则就是跨站的,这是不被允许的。但是,标签script内加载的脚本是不受此限制的。有人因此hack出JSONP,利用这一个特点即可发起跨站的脚本请求,并传递跨站数据给客户端。本文对此技术验证。

我们会创建两个node服务,分别为8081、8082两个端口,扮演当前站点和跨域站点。假设我从服务器A加载一个HTML文件,文件内通过脚本标签发起对跨域站点B的请求。B站希望返回数据{msg:1}给A站的客户端。

A站点。服务器文件home.js,提供静态首页服务

    var express = require('express');
    var app = express();
    var path = require('path')
    var public = path.join(__dirname, 'public')
    app.use('/',express.static(public))
    var server = app.listen(8081, function () {
      console.log("home site started ")
    })
    

B站点。提供JSONP服务。文件名为:cors.js

    var express = require('express');
    var app = express();
    app.get('/jsonp/:callback',function (req, res) { 
      var callback = req.params.callback
      console.log(callback)
      res.end(callback+'({msg:1})');
    })
    var server = app.listen(8082, function () {
      console.log("CORS Server started")
    })

其首页index.html:


  <script>
    function cb(obj)
    {
        alert(obj.msg)
    }
</script>
<script src="http://localhost:8082/jsonp/cb" ></script>

启动服务器


   node home.js
   node cors.js

访问localhost:81,看到一个对话框显示1。此时,B站返回的数据已经成功的传递给了A站的客户端。

完成。


Reco
4.6k 声望541 粉丝

敢作敢为