是的!
这是可能的。一种方法是使用WebWorkers。在WebWorkers中运行的代码无法访问您的页面正在运行的DOM或其他JavaScript代码。
您可以创建WebWorker并使用它执行JSONP请求,然后在完成后终止它。
的过程是这样的:
这样,攻击者就没有关于DOM的信息。
这里是一个sample implementation:
// Creates a secure JSONP request using web workers.
// url - the url to send the request to
// data - the url parameters to send via querystring
// callback - a function to execute when done
function jsonp(url, data, callback) {
//support two parameters
if (typeof callback === "undefined") {
callback = data;
data = {};
}
var getParams = ""; // serialize the GET parameters
for (var i in data) {
getParams += "&" + i + "=" + data[i];
}
//Create a new web worker, the worker posts a message back when the JSONP is done
var blob = new Blob([
"var cb=function(val){postMessage(val)};" +
"importScripts('" + url + "?callback=cb" + getParams + "');"],{ type: "text/javascript" });
var blobURL = window.URL.createObjectURL(blob);
var worker = new Worker(blobURL);
// When you get a message, execute the callback and stop the WebWorker
worker.onmessage = function (e) {
callback(e.data);
worker.terminate();
};
worker.postMessage(getParams); // Send the request
setTimeout(function(){
worker.terminate();//terminate after 10 seconds in any case.
},10000);
};
下面是在的jsfiddle工作示例用法:
jsonp("http://jsfiddle.net/echo/jsonp", {
"hello": "world"
}, function (response) {
alert(response.hello);
});
此实现不与其他一些问题的处理,但它阻止对所有访问DOM或页面上的当前JavaScript,可以创建safe WebWorker environment。
这应该适用于IE10 +,Chrome,Firefox和Safari以及移动浏览器。