JavaScript权威指南--脚本化HTTP

时间 2019-11-08

标签 javascript 权威指南脚本 http 栏目 JavaScript 繁體版

原文原文链接

知识要点

超文本传输协议（HTTP）规定web浏览器如何从web服务器获取文档和向web服务器发送表单内容，以及web服务器如何响应这些请求和提交。web浏览器会处理大量的HTTP。一般，HTTP并不在脚本的控制下，只是当用户单击连接、提交表单和输入URL时才发送。javascript

可是，用javascript代码操纵HTTP是可行的。当脚本设置window对象的location属性或调用表单对象的submit()方法时，都会初始化HTTP请求。在这种状况下，浏览器会重新加载页面。但这章讨论在没有致使web浏览器从新加载任何窗口或窗体内容的状况下，脚本如何实现浏览器与服务器之间的通讯。php

术语Ajax描述了一种主要使用脚本操做HTTP的web应用构架。（Ajax是Asynchronous javascript and XML的缩写，这个术语由jesse James Carrett创造，最先出现于2005年2月它发布的文章。）。Ajax应用的主要特色是使用脚本操做HTTP和web服务器进行数据交换，不会致使页面重载。避免页面重载（这是web初期的标准作法）的能力能使web应用感受更像传统的桌面应用。web可使用Ajax技术把用户的交互记录数据记录到服务器中；也能够是简单的显示页面，以后按需加载额外的数据和页面组件来提示应用的启动时间。css

Comet是和使用脚本操做HTTP的web应用构架相关的术语（Comet这个名字是Alex Russell在2006年3月创造）。在某种意义上，Comet和Ajax相反，在Comet中，web服务器发起通讯并异步发送到消息客户端。若是web应用须要相应服务器发送消息，则它会使用Ajax技术发送或请求数据。在Ajax中，客户端从服务器“拉”数据。在Comet中，服务端向客户端“推”数据。Comet还包括其余名词，如：“服务器推”，“Ajax推”，“HTTP流”。java

实现Ajax和Comet的方式有不少种，而这些底层的实现有时候称为传输协议(transport)。例如：<IMG>元素有一个src属性。当脚本设置这个属性为url时，浏览器发起的HTTP请求会从这个URL下载图片。所以脚本经过设置<img>元素的src属性，且把信息图片URL的查询字符串部分，就把能通过编码的信息传递给web服务器。web服务器实际上必须返回某个图片做为请求结果，但它必定要不可可见。例如一个1*1像素的透明图片（这种类型的图片也叫网页信标（web bug）当网页信标不是与当前网页服务器而是其它服务器交流信息时，会担忧隐私泄露。这种第三方的网页信标方式经常使用于统计点击数和网站流量分析）。web

<img>元素没法实现完整的的Ajax传输协议，由于数据交换是单向的：客户端能发送数据到服务器，但服务器的响应一直是张图片致使客户端没法从中获取提取信息。然而<iframe>元素更增强大，为了把<iframe>做为Ajax传输协议使用，脚本首先要把发送给web服务器的信息编码到URL中，而后设置<iframe>的src属性为该URL。服务器建立一个包含响应内容的HTML文档。并把它返回给web浏览器。而且在<iframe>中显示它。<iframe>须要对用户不可见。可使用css隐藏它。脚本能遍历<iframe>的文档对象来读取服务端的响应，注意，这种方法受限于13.6.2介绍的同源策略问题。ajax

实际上，<script>元素的src属性能设置URL并发起HTTP GET请求，使用<script>元素实现脚本操纵HTTP是很是吸引人的。由于它们能够跨域通讯并不受限于同源策略。一般，使用<script>的Ajax传输协议时，服务器的响应采用JSON(见6章9节)的数据格式，当执行脚本时，javascript解析器也能自动将其“解码”。因为它使用JSON数据格式，所以这种Ajax传输协议也叫“JSONP”。编程

虽然在<iframe>和<script>传输协议上能实现AJAX技术，但一般还有更简单的方式，一段时间来，全部的浏览器都支持XMLHttpRuquest对象，它定义了用脚本操做HTTP的API。除了经常使用的GET请求，这个API还包含实现POST请求能力，同时它能用文本或Document对象的形式返回服务器响应。虽然它的名字叫XMLHttpRequest API，但并没限定只能使用XML文档，他能获取任意类型的文本文档。本章第1节涵盖XMLHttpRequestAPI和本章的大部分。本章的大部分Ajax示例都将使用XMLHttpRequest对象实现协议（第1节）方案，咱们也将在本章第2节演示如何基于<script>的传输协议。由于<script>有规避同源限制的能力。json

XML是可选的跨域

“Ajax”中的X表示XML。这个HTTP（XMLHttpRquest）主要客户端API在其名字中突出了XML，而且咱们在后面将看到XMLHttpRequest对象的一个重要属性叫responseXML。它看起来像说明XML是脚本操纵HTTP的重要部分，但实际上不是。这些名字只是XML流行时的遗迹。固然AJax技术能和XML文档一块儿工做。但使用XML只是一种选择。实际上不多使用。XMLHttpRequest规范列出了这个使人困惑的名字的不足之处：对象名XMLHttpRequest是为了兼容web，虽然这个名字的每一个部分均可能形成误导。首先，这个对象支持包括XML在内的任何基于文本的格式。其次，它能用于HTTP和HTTPS请求（一些实现支持除了HTTP和HTTPS以外的协议，但规范不包括这些功能）。最后它支持的请求是一个广义的概念，指定是对定义的HTTP方法的设计HTTP请求或响应的全部活动。数组

Comet传输协议比Ajax更精妙，但须要客户端和服务器创建（必要时从新创建）链接。同时要保存服务器链接处于打开状态。这样它才能发送异步信息。隐藏的<iframe>能像Comet传输协议同样有用。例如：若是服务器以<iframe>中执行的<script>元素的形式发生每条消息。实现Comet的一种更可靠的跨平台方案是客户端简历一个服务器链接（使用Ajax传输协议），同时服务器包装这个链接打开直到它须要推送一条信息，服务器每发送一个信息就关闭这个链接。这样就能够确保客户端正确接收到消息。处理该消息以后，客户端立刻为后续的消息推送创建一个新链接。

实现可靠的跨平台Comet传输协议是很是有挑战性的，因此大部分使用Comet构架的web应用开发者依赖像Dojo这样的web框架中的传输协议。HTML5相关草案的Server-Sent事件，它用EventSource对象的形式定义了简单的Comet API。本章第3节涵盖EventSoure API而且演示了一个使用XMLHttpRequest显示的简单模拟示例。

在Ajax和Comet之上构建更高的通讯协议是可行的。例如，这些客户端/服务器技术能够用做RPC(Remote Procedure Call，远程过程调用)机制或发布/订阅事件系统基础。

1.使用XMLHttpRequest

浏览器在XMLHttpRequest类上定义了它们的HTTP API。这个类的每一个实例都表示一个独立的请求/响应对。而且这个对象的属性和方法容许指定请求细节和提取响应数据。

使用这个HTTP API作的第一件事就是实例化XMLHttpRequest对象。

你也能够重用已存在的XMLHttpRequest，但注意这将会终止以前经过该对象挂起的任何请求。

IE6中的XMLHttpRequest

微软最先把XMLHttpRequest对象引入到IE5中，且在IE5和6中它只是一个ActiveX对象。IE7以前的版本不支持非标准的XMLHttpRequest()构造函数，但能像如下来模拟解决：

 //ie5和i6模拟XMLHttpRequest()构造函数
if (window.XMLHttpRequest === undefined) {
    window.XMLHttpRequest = function() {
        try {
            //若是可用，则使用Active对象的最新版本
            return new ActiveXObject("Msxml2.XMLHTTP.6.0");
        } catch (e1) {
            try {
                //不然回退早的版本
                return new ActiveXObject("Msxml2.XMLHTTP.3.0");
            } catch (e2) {
                //不然，抛出错误
                throw new Error("XMLHttpRequest is not supported");
            }
        }
    };
}

一个HTTP请求由4个部分组成：

HTTP请求的方法或“动做”（verb）
正在请求的URL
一个可选的请求头集合。其中可能包含身份验证
一个可选的请求主体

服务器返回的HTTP请求响应包含3个部分：

一个数字和文字组成的状态码，用来显示成功和失败
一个响应头集合
响应主体

接下来两节咱们将会展现如何设置HTTP请求的每一个部分和如何查询HTTP响应的每一个部分。

HTTP的基础请求/响应构架很是简单并易用使用。但在实践中会有各类各样的带来复杂的问题：客户端和服务器交换cookie，服务器重定向浏览器到其它服务器，缓存某些资源而剩下的不缓存，某些客户端经过代理服务器发送全部的请求等。XMLHttpRequest不是协议级的HTTP API而是浏览器级的API，浏览器须要考虑cookie、重定向、缓存和代理，但代码只须担忧请求和响应。

测试的时候须要上传到服务器或者使用本地服务器。XMLHttpRequest用于同HTTP和HTTPS协议一块儿工做，不少同喜只有经过HTTP才有的。

1.1.指定请求

open()方法

你能为请求指定“Authorization”头，但一般不须要这么作。若是请求一个受密码保护的URL，把用户名和密码做为第4个和第5个参数传递给open()，则XMLHttpRequest将设置合适的头。（接下来了解open()可选的第三个参数。可选的用户名和密码参数会在第4部分介绍）。

send()方法

顺序问题

HTTP请求的各部分有指定顺序：请求方法和URL首先到达，而后是请求头，最后是请求主体。XMLHttpRequest实现一般直到调用send()方法开始启动网络。但XMLHttpRequest API的设计彷佛使每一个方法都写入网络流。这意味这调用XMLHttpRequest方法的顺序必须匹配HTTP请求的构架。例如setRequestHeader()方法的调用必须在调用open()以前但在调用send()以后。不然它将抛出异常。

它用POST方法发送文本字符串给服务器,并忽略服务器返回的任何响应：

 /**POST方法发送纯文本给服务器**/
function postMessage(msg) {
    var request = new XMLHttpRequest(); //新请求
    request.open("POST", "log.php"); //用POST向服务器端发送脚本
    //用请求主题发送纯文本消息
    request.setRequestHeader("Content-type", //请求主体讲述纯文本
        "text/plain;charset=UTF-8");
    request.send(msg);   //将msg做为请求主体发生
    //请求完成 ，将忽略任何响应和错误
}

上个例子的send()方法启动请求，而后返回。当它等待的服务器的响应时间并不阻塞。

1.2.取得响应

使用getResponseHeader()和getAllResponseHeaders()能查询响应头。XMLHttpRequest会自动处理cookie：它会从getAllResponseHeaders()头返回集合中中过滤掉的cookie头，而若是给getResponseHeader()传递“Set-Cookie”和“Set-cookie2”则返回true。

XMLHttpRequest对象一般（除了见下面的“同步响应”节的内容）异步使用：发送请求后，send()方法当即返回，直到响应返回，前面列出的响应方法和属性才有效。为了响应准备就绪时获得通讯，必须监听XMLHttpRequest对象上的readystatechange事件（或者4小节描述的XHR进度事件）。但为了理解这个事件类型，你必须理解readyState属性。

下面的例子定义了getText()函数来演示如何监听reaystatechange事件。事件处理程序首先要确保请求完成。若是这样，它会检测响应状态码来确保请求成功。而后它查找“Content-Type”头来验证响应主体是不是指望类型。若是3个条件都获得知足，它会把响应主体（以文本形式）发送给指定的回调函数。

 /*获取HTTP响应的onreadysatechange*/
 //发出一个HTTP GET请求以得到指定URL内容
 //当响应成功到达，验证它是不是纯文本
 //若是是，把它传递给指定的回调函数
function getText(url, callback) {
    var request = new XMLHttpRequest(); //建立新请求
    request.open("GET", url); //指定获取URL
    request.onreadystatechange = function() { //定义事件处理程序
        //若是请求完成，则它是成功的
        if (request.readyState === 4 && request.status === 200) {
            var type = request.getResponseHeader("Content-Type");
            if (type.match(/^text/)) //确保响应是文本
                callback(request.responseText); //把它传递给回调函数
        }
    };
    request.send(null); //当即发送请求
}

(1).同步响应

比较上例子的getText()函数同步代码：

 //发起同步的HTTP GET请求以得到指定URL的内容
 //返回响应文本，或若是请求不成功或响应不是文本就报错
function getTextSync(url) {
    var request = new XMLHttpRequest(); //建立新请求
    request.open("GET", url, false); //传递false实现同步
    request.send(null); //当即发送请求
    //若是请求不是200 OK，就报错
    if (request.status !== 200) throw new Error("request.statusText");
    //若是类型错误，就报错
    var type = request.getResponseHeader("Content-Type");
    if (!type.match(/^text/))
        throw new Error("Expected texttual response: " + type);
    return request.responseText;
}

同步请求是吸引人的，但应该避免使用它们。客户端javascript是单线程的，当send()方法阻塞时，它一般致使整个浏览器UI冻结。若是链接的服务器响应慢，那么用户的浏览器冻结。然而，22.4节能够接受使用同步的请求的场景。

(2)响应解码

若是服务器想发送诸如对象或数组这样的结构化数据做为其响应，它应该传输JSON编码（6.9节）的字符串数据。当接受它时，能够把responseText属性传给JSOP.parse()。示例：上面的一个例子的概括：它实现指定URL的GET请求并当URL的内容准备就绪时把他们传递给指定的回调函数。但它不是一直传递文本，而是传递Document对象或使用JSON.parse()编码对应的对象或字符串。

 /**解析HTTP响应**/
 //发起http get响应以获取指定url内容
 //当响应到达时，把它以解析后的XML Document对象、解析后的JSON对象或字符串的形式传递给回调函数
function get(url, callback) {
    var request = new XMLHttpRequest();
    request.open("GET", url); //建立新请求
    request.onreadystatechange = function() { //定义事件监听器
        //若是请求完成且成功
        if (request.readyState === 4 && request.status === 200) {
            //获取响应的类型
            var type = request.getAllResponseHeaders("Content-Type");
            //检测类型，这样咱们不能再将带获得HTML文档
            if (type.indexOf("xml") !== -1 && request.responseXML)
                callback(request.responseXML); //Document对象响应
            else if (type === "application/json")
                callback(JSON.parse(request.responseText)); //JSON响应
            else
                callback(request.responseText); //字符串响应
        }
    };
    request.send(null); //当即发送
}

上面例子检查该响应的“Content-Type”头且专门处理“application/json”影响。你可能但愿特殊的编码的另外一个响是“application/javascript”或“text/javascript”。你能使用XMLHttpRequest请求Javascript脚本，而后使用全局eval()（参见4.12.2节）执行这个脚本。可是，在这种状况下不须要使用XMLHttpRequest对象，由于<script>元素自己操做HTTP的脚本的能力彻底能够实现加载并执行脚本。见例13-4，且记住<script>元素能发起跨域HTTP请求，而XMLHttpRequest API则禁止。

web服务端一般使用二进制数据（好比图片文件）响应HTTP请求，responseText属性只能用于文本，且它不能妥善处理二进制响应，即便对最终字符串使用了charCodeAt()方法，详情参见22.6.2节。

服务器响应的正常解码是假设服务器为这个响应发送了"Content-Type"头和正确的MIME类型。例如，若是服务器发送了XML文档但没有设置适当的MIME类型，那么XMLHttpRequest对象将不会解析它且设置responseXML属性。或者，若是服务器在“Content-Type”头中包含了错误的“charset”参数，那么XMLHttpRequest将使用错误的编码来解析响应，而且responeText的字符串多是错的。XHR2定义了overrideMimeType()方法来解决这个问题，而且大量的浏览器已经实现了它。若是想对服务器你更了解资源的MIME类型，那么在调用send()以前把类型传递给overrideMimeType()。这将使XMLHttpRequest忽略“Content-Type”头且使用指定的类型。假设你将下载XML文件，而你计划将它当成纯文本对待。可使用setOverrideMimeType()让XMLHttpRequest知道它不须要把文件解析成XML文档：

//不要把响应做为XML文档处理
request.overrideMimeType("text/plain;charset=utf-8")

1.3.编码请求主体

HTTP POST请求包含一个请求主体，它包含客户端传递给服务器的数据。在例18-1中，请求主体是简单的文本字符串，可是咱们一般使用HTTP请求发送的都是更复杂的数据。本节演示这样作的一些方法。

⑴表单编码的请求

考虑HTML表单。当用户提交时，表单中的数据（每一个表单元素的名字和值）编码到一个字符串中并随请求发送。默认的状况下，HTML表单经过POST方法发送给服务器，而编码后的表单数据则用作请求主体。对表单数据使用的编码方案相对简单：对每一个表单元素的名字和执行普通的URL编码（使用十六进制转义码替换特殊字符串），使用等号把编码后的名字和值分开，并使用“&”符号分开名/值对。一个简单的编码以下这样：

find=laobeijing&mendian=3123&radius=1km

表单数据编码格式有一个正式的MIME类型：

application/x-www-form-urlencoded

当使用POST方法提交这种顺序的表单数据时，必须设置"Content-Type"请求头为这个值。

注意。这种类型的编码并不须要HTML，在本章咱们实际上将不须要直接使用表单。在Ajax应用中，你但愿发送给服务器的极可能是一个javascript对象。（这个对象可能从HTML表单的用户输入中获得，但这里不是问题），前面展现的数据变成javascript对象的表单的编码形式多是：

{
    find: "laobeijing",
    mendian: 3123,
    radius: "1km"
}

表单编码在web上是如此普遍使用，同时全部服务器端的编程语言都能获得良好的支持，全部非表单的数据的表单编码一般也是容易实现的事情。下面的例子展现了如何实现对象属性的表单编码。

 /**用于HTTP请求的编码对象**/
/**
 * 编码对象的属性
 * 若是它们是来自HTML表单的名/值对，使用application/x-www-form-urlencode格式
 **/
function encodeFormDate(data) {
    if (!data) return ""; //一直返回字符串
    var pair = []; //为了保存名=值对
    for (var name in data) { //为了每一个名字
        if (!data.hasOwnProperty(name)) continue; //跳过继承属性
        if (typeof data[name] === "function") continue; //跳过方法
        var value = data[name].toString(); //把值转化为字符串
        name = encodeURIComponent(name.replace("%20", "+")); //编码名字
        value = encodeURIComponent(value.replace("%20", "+")); //编码值
        pair.push(name + "=" + value); //记住名对
    }
    return pair.join("&"); //返回使用“&”链接的名/值
}

使用已经定义的encodeFormData()函数，咱们能容易的写出像下面的例子中的postData()函数这样的工具函数，须要注意的是，简单来讲，postData()函数(在随后的示例中有类似的函数)不能处理服务器响应。当响应完成后，它传递整个XMLHttpRequest对象给指定的函数。这个回调函数赋值检测响应状态码和提取响应文本。

 /**使用表单编码数据发起一个HTTP POST请求**/
function postData(url, data, callback) {
    var request = new XMLHttpRequest;
    request.open("POST", url);
    request.onreadystatechange = function() { //简单的事情处理程序
        if (request.readyState === 4 && callback) //当响应完成
            callback(request); //调用回调函数
    };
    request.setRequestHeader("Content-type", //设置Content-type
        "application/x-www-form-urlencoded");
    request.send(encodeFormData(data)); //发送表单编码数据
}

表单数据一样能够经过GET请求来提交，既然表单提交的目的是为了执行只读查询，所以GET请求比POST更合适。（当提交表单的目标仅仅是一个只读查询，GET比POST更合适）GET请求历来没有主体，因此须要发送给服务器的表单编码数据“负载”须要一个URL（后跟一个问号）的查询部分。encodeFormData()工具函数也能用于这种GET请求。下面的例子演示了如何使用它。

 /**使用表单数据发起GET请求**/
function getData(url, data, callback) {
    var request = new XMLHttpRequest();
    request.open("GET", url +
        "?" + encodeFormData(data)); //经过添加编码数据获取指定url
    request.onreadystatechange = function() { //简单事件处理程序
        if (request.readyState === 4 && callback) callback(request);
    };
    request.send(null); //发送请求
}

HTML表单在提交的时候会对表单数据进行URL编码，但使用XMLHttpRequest能给咱们编码本身想要的任何数据。随着服务器上的适当支持。咱们的laobeijing查询数据将编码成一个清晰的url，以下：

http://restaurantfinder.example.com/02134/1km/pizza

⑵JSON编码的请求

 /**使用JSON编码主体来发起HTTP POST请求**/
function postJSON(url, data, callback) {
    var request = new XMLHttpRequest();
    request.open("POST", url); //对指定的URL发送POST请求
    request.onreadystatechange = function() { //简单的事件处理程序
        if (request.readyState === 4 && callback) //当响应完成时
            callback(request); //调用回调函数
    };
    request.setRequestHeader("Content-Type", "application/json");
    request.send(JSON.stringify(data));
}

(3)XML编码的请求

javascript对象的用表单编码或JSON编码表达的pizza查询，也能用XML文档来表示它。例如，以下所示：

<query>
    <find zipcode="02134" radius="1km">
        pizza
    </find>
</query>

1.4.HTTP进度事件

在以前的示例中，使用readystatechange事件探测HTTP请求的完成。XHR2规范草案定义了有更多有用的事件集，已经在现代主流的浏览器中获得了支持。这个新的事件模型中，XMLHttpRequest对象在请求的不一样阶段触发不一样的事件，因此它再也不须要检查reayState属性。

在支持它们的浏览器中，这些新事件会像以下这样触发。当调用send()时，触发单个loadstart事件。当正在加载服务器的响应时，XMLHTTPRequest对象会发生progress事件，一般每隔50秒左右，因此可使用这些事件给用户反馈请求的进度。若是请求快速完成，它可能从不会触发progress事件。当事件完成，会触发load事件。

一个完成的请求不必定是成功的请求，例如，load事件的处理程序应该检查XMLHttpRequest对象的status状态码来肯定收到的是“200 OK”而不是“404 Not Found”的HTTP响应。

HTTP请求没法完成有3种状况，对应3种事件。若是请求超时，会触发timeout事件。若是请求停止，会触发abort事件。（18.1.5节包含超时和abort方法的内容。）最后，像太多重定向这样网络错误会阻止请求完成，但这些状况发生时会触发error事件。

对应任何具体请求，浏览器将只会触发load、abort、timeout、error事件中的一个。XHR2规范草案指出一旦这些事件中的一个发生后，浏览器会触发loadend事件。

能够经过XMLHttpRequest对象的addEventListener()方法为这些progress事件中的每一个都注册处理程序。若是每种事件只有一个事件处理程序，一般更容易的方法是只设置对应的处理程序属性，好比onprogress和onload。甚至可使用这些事件属性是否来存在来测试浏览器是否支持progress事件：

if("onprogress" in (new XMLHttpRequest())){
    console.log("good!") //支持progress事件
}

除了像type和timestamp这样经常使用的Event对象属性外，与这些progress事件相关联的事件对象还有3个有用的属性。loaded属性是目前传输的字节数值。total属性是自“Content-Length”头传输的总体长度（单位是字节），若是不知道内容长度则为0。最后，若是知道内容长度则lengthComputable属性为true；不然为false。显然，total和loaded属性对progress事件处理程序至关有用：

request.onprogress = function(e) {
    if (e.lengthComputable)
        progress.innerHTML = Math.round(100 * e.loaded / e.total) + "% Complete";
}

上传进度事件

除了为监控HTTP响应的加载定义的这些有用的事件外，XHR2也给出了用于监控HTTP请求上传的事件。在实现这些特性的浏览器中，XMLHttpRequest对象将有upload属性。upload属性值是一个对象，它定义了addEventListener()方法和整个的propress事件集合，好比onprogress和onload。(但upload对象没有定义onreadystatechange属性，upload仅能触发新的事件类型)

你能仅仅像使用常见的progeress事件处理程序同样使用upload事件处理程序。对于XMLHttpRequest对象x，设置x.onprogress以监控响应下载进度，并设置x.upload.onprogress以监控请求的上传进度。

下面的例子使用了upload progress事件把上传进度反馈给用户。这个示例也展现了如何拖放API中得到File对象和如何使用FormData API在单个XMLHTTPRequest请求中上传多个文件。

2.借用<script>发送HTTP请求：JOSNP

本章概述提到过<script>元素能够做为一种ajax传输机制：只需设置<script>元素的src属性（假如它还没插入到document中，须要插入进去），而后浏览器就会发送一个HTTP请求如下载src属性所指向的url。使用<script>元素进行ajax传输的一个主要缘由是，它不受同源策略的影响，所以可使用它们从其它的服务器请求数据。第二个缘由是包含JSON编码数据的响应体会自动解码（即，执行）。

脚本和安全

为了使用<script>元素进行AJAX传输，必须容许web页面可执行远程服务器发送过来的任何javascript代码。这意味着对不可信的服务器，不该该采起此措施。当与可信的服务器通讯时，要堤防攻击者可能进入服务器中，而后黑客会接管你的网页，运行他本身的代码，并显示任何他想要的内容，这表现得就像这些内容本就来自你的网站。

假设你已经写过一个服务，它处理GET请求并返回JSON编码的数据。同源的文档能够在代码中使用XMLHttpRequest和JSON.parse()。假如在服务器上启用了CORS，跨域文档也可因经过XMR享受到该服务。不支持的话就用JSONP，JSON响应数据(理论上)是合法的JavaScript代码，当它到达时浏览器将执行它。

这就是JSONP中P的意义所在。当经过<script>元素调用数据是，响应内容必须用javascript函数名和圆括号包裹起来。而不是发送这样的一段JSON数据：

[1,2{"bukle":"my shoes"}]

它会发送这样的一个包裹后的JSON响应：

handleResponse(
    [1, 2 {"bukle": "my shoes"}]
)

包裹后的响应会成为<script>元素的内容，它先判断JSON编码后的数据（毕竟就是一个javascript表达式），而后把它传递给handleResponse()函数，咱们能够假设文档拿这些数据会作一些有用的事情。

为了可行起见，咱们必须经过某种方式告诉服务，它正在从一个<javascript>元素调用，必须返回JSONP响应，而不该该是普通的JSON响应。这个能够经过URL中添加一个参数来实现，例如：追加“?json”(或&json)。

在实践中，支持JSONP的服务不会强制指定客户端必须实现的回调函数名称，好比handleResponse。相反，他们使用查询参数的值，容许客户端指定一个函数名，而后使用函数名去填充响应。下面的例子使用了一个名为jsonp的查询参数来指定回调函数的名称。许多支持JSONP的服务都能分辨出这个参数名。另一个常见的参数名称是callback，为了让使用到的服务支持相似特殊的需求，就须要在代码上作一些修改了。

下面的例子定义了一个getJSOP()函数，它发送JSONP请求。这个例子有点复杂，有几点值得注意。首先，注意它是如何建立一个新的<Script>元素，设置其URL，并将它插入到文档中。正是插入操做触发HTTP请求。其次，注意下面的的例子为每一个请求都建立了一个全新的内部回调函数，回调函数做为getJSONP()函数的一个属性存储起来。最后要注意的是回调函数作了一些清理工做：删除脚本元素，并删除自身。