因为您可以要求服务器为返回的JSON对象添加前缀。例如

function_prefix（json_object）；

以便浏览器将JSON字符串作为表达式“内联”求值。这一技巧使服务器可以直接在客户端浏览器中“注入”javascript代码，并且绕过“同源”限制。

换句话说，您可以实现跨域数据交换。

---

通常，XMLHttpRequest不允许直接进行跨域数据交换（需要通过同一域中的服务器），而：

<script src=“some_other_domain/some_data.js&prefix=function_prefix>`可以从不同于源域的域访问数据。

---

同样值得注意的是：即使在尝试这种“技巧”之前，服务器应该被认为是“可信的”，但对象格式等可能改变的副作用也可以得到控制。如果使用function_prefix（即正确的js函数）接收JSON对象，则所述函数可以在接受/进一步处理返回的数据之前执行检查。

其实并不太复杂。。。

假设你在domain example.com上，你想向domain example.net发出请求。要做到这一点，你需要跨越域边界，这在大多数浏览器中是不允许的。

绕过此限制的一项是＜script＞标记。当您使用脚本标记时，域限制将被忽略，但在正常情况下，您无法对结果执行任何操作，脚本只会得到评估。

输入JSONP。当您向启用了JSONP的服务器发出请求时，您会传递一个特殊参数，该参数会告诉服务器有关您的页面的一些信息。这样，服务器能够以页面可以处理的方式很好地包装其响应。

例如，假设服务器需要一个名为callback的参数来启用其JSONP功能。那么您的请求将如下所示：

http://www.example.net/sample.aspx?callback=mycallback

如果没有JSONP，这可能会返回一些基本的JavaScript对象，如下所示：

{ foo: 'bar' }

然而，使用JSONP，当服务器接收到“回调”参数时，它会稍微不同地包装结果，返回如下内容：

mycallback({ foo: 'bar' });

如您所见，它现在将调用您指定的方法。因此，在页面中，您可以定义回调函数：

mycallback = function(data){
  alert(data.foo);
};

现在，当加载脚本时，将对其求值，并执行您的函数。瞧，跨域请求！

还值得注意的是JSONP的一个主要问题：您失去了对请求的大量控制。例如，没有“好”的方法可以取回正确的故障代码。因此，您最终使用计时器来监视请求等，这总是有点可疑。JSONRequest的提议是允许跨域脚本编写、维护安全性和允许正确控制请求的一个很好的解决方案。

目前（2015年），CORS是与JSONRequest相比的推荐方法。JSONP对于较旧的浏览器支持仍然有用，但考虑到安全问题，除非您别无选择，否则CORS是更好的选择。

JSONP实际上是克服XMLHttpRequest同域策略的一个简单技巧。（如您所知，不能将AJAX（XMLHttpRequest）请求发送到其他域。）

因此，我们必须使用脚本HTML标记，而不是使用XMLHttpRequest，这些标记通常用于加载js文件，以便js从另一个域获取数据。听起来很奇怪？

事实是，脚本标记可以以类似于XMLHttpRequest的方式使用！看看这个：

script = document.createElement('script');
script.type = 'text/javascript';
script.src = 'http://www.someWebApiServer.com/some-data';

加载数据后，您将得到一个如下所示的脚本段：

<script>
{['some string 1', 'some data', 'whatever data']}
</script>

然而，这有点不方便，因为我们必须从脚本标记中获取这个数组。因此，JSONP的创建者决定，这将更好地工作（而且是这样）：

script = document.createElement('script');
script.type = 'text/javascript';
script.src = 'http://www.someWebApiServer.com/some-data?callback=my_callback';

注意到那边的my_callback函数了吗？因此，当JSONP服务器收到您的请求并找到回调参数时，它将返回以下内容，而不是返回纯js数组：

my_callback({['some string 1', 'some data', 'whatever data']});

看看利润在哪里：现在我们得到了自动回调（my_callback），一旦我们得到数据，它就会被触发。这就是关于JSONP的所有知识：它是回调和脚本标记。

注意：这些是JSONP用法的简单示例，它们不是可用于生产的脚本。

基本JavaScript示例（使用JSONP的简单Twitter提要）

<html>
    <head>
    </head>
    <body>
        <div id = 'twitterFeed'></div>
        <script>
        function myCallback(dataWeGotViaJsonp){
            var text = '';
            var len = dataWeGotViaJsonp.length;
            for(var i=0;i<len;i++){
                twitterEntry = dataWeGotViaJsonp[i];
                text += '<p><img src = "' + twitterEntry.user.profile_image_url_https +'"/>' + twitterEntry['text'] + '</p>'
            }
            document.getElementById('twitterFeed').innerHTML = text;
        }
        </script>
        <script type="text/javascript" src="http://twitter.com/status/user_timeline/padraicb.json?count=10&callback=myCallback"></script>
    </body>
</html>

基本jQuery示例（使用JSONP的简单Twitter提要）

<html>
    <head>
        <script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.6.2/jquery.min.js"></script>
        <script>
            $(document).ready(function(){
                $.ajax({
                    url: 'http://twitter.com/status/user_timeline/padraicb.json?count=10',
                    dataType: 'jsonp',
                    success: function(dataWeGotViaJsonp){
                        var text = '';
                        var len = dataWeGotViaJsonp.length;
                        for(var i=0;i<len;i++){
                            twitterEntry = dataWeGotViaJsonp[i];
                            text += '<p><img src = "' + twitterEntry.user.profile_image_url_https +'"/>' + twitterEntry['text'] + '</p>'
                        }
                        $('#twitterFeed').html(text);
                    }
                });
            })
        </script>
    </head>
    <body>
        <div id = 'twitterFeed'></div>
    </body>
</html>

JSONP代表带填充的JSON。（这项技术的名称很差，因为它和大多数人认为的“填充”毫无关系。）

JSONP通过构造一个“脚本”元素（以HTML标记或通过JavaScript插入到DOM中）来工作，该元素请求远程数据服务位置。响应是加载到浏览器的javascript，带有预定义函数的名称以及传递的参数，该参数是请求的JSON数据。当脚本执行时，该函数与JSON数据一起被调用，从而允许请求页面接收和处理数据。

更多阅读请访问：https://blogs.sap.com/2013/07/15/secret-behind-jsonp/

客户端代码段

    <!DOCTYPE html>
    <html lang="en">
    <head>
     <title>AvLabz - CORS : The Secrets Behind JSONP </title>
     <meta charset="UTF-8" />
    </head>
    <body>
      <input type="text" id="username" placeholder="Enter Your Name"/>
      <button type="submit" onclick="sendRequest()"> Send Request to Server </button>
    <script>
    "use strict";
    //Construct the script tag at Runtime
    function requestServerCall(url) {
      var head = document.head;
      var script = document.createElement("script");

      script.setAttribute("src", url);
      head.appendChild(script);
      head.removeChild(script);
    }

    //Predefined callback function    
    function jsonpCallback(data) {
      alert(data.message); // Response data from the server
    }

    //Reference to the input field
    var username = document.getElementById("username");

    //Send Request to Server
    function sendRequest() {
      // Edit with your Web Service URL
      requestServerCall("http://localhost/PHP_Series/CORS/myService.php?callback=jsonpCallback&message="+username.value+"");
    }    

  </script>
   </body>
   </html>

服务器端PHP代码

<?php
    header("Content-Type: application/javascript");
    $callback = $_GET["callback"];
    $message = $_GET["message"]." you got a response from server yipeee!!!";
    $jsonResponse = "{\"message\":\"" . $message . "\"}";
    echo $callback . "(" . $jsonResponse . ")";
?>

JSONP是解决跨域脚本错误的好方法。您可以使用纯JS的JSONP服务，而无需在服务器端实现AJAX代理。

您可以使用b1t.co服务查看其工作原理。这是一个免费的JSONP服务，让您可以缩小URL。以下是用于服务的url：

http://b1t.co/Site/api/External/MakeUrlWithGet?callback=[resultsCallBack]&url=[escapedUrlToMinify]

例如呼叫，http://b1t.co/Site/api/External/MakeUrlWithGet?callback=whateverJavascriptName&url=google.com

将返回

whateverJavascriptName({"success":true,"url":"http://google.com","shortUrl":"http://b1t.co/54"});

因此，当该get作为src加载到js中时，它将自动运行whateverJavascriptName，您应该将其实现为回调函数：

function minifyResultsCallBack(data)
{
    document.getElementById("results").innerHTML = JSON.stringify(data);
}

要实际执行JSONP调用，可以通过几种方式（包括使用jQuery）执行，但这里有一个纯JS示例：

function minify(urlToMinify)
{
   url = escape(urlToMinify);
   var s = document.createElement('script');
   s.id = 'dynScript';
   s.type='text/javascript';
   s.src = "http://b1t.co/Site/api/External/MakeUrlWithGet?callback=resultsCallBack&url=" + url;
   document.getElementsByTagName('head')[0].appendChild(s);
}

一个循序渐进的示例和一个要练习的jsonp web服务可以在以下位置获得：

JSONP用法的一个简单示例。

客户端.html

    <html>
    <head>
   </head>
     body>


    <input type="button" id="001" onclick=gO("getCompany") value="Company"  />
    <input type="button" id="002" onclick=gO("getPosition") value="Position"/>
    <h3>
    <div id="101">

    </div>
    </h3>

    <script type="text/javascript">

    var elem=document.getElementById("101");

    function gO(callback){

    script = document.createElement('script');
    script.type = 'text/javascript';
    script.src = 'http://localhost/test/server.php?callback='+callback;
    elem.appendChild(script);
    elem.removeChild(script);


    }

    function getCompany(data){

    var message="The company you work for is "+data.company +"<img src='"+data.image+"'/   >";
    elem.innerHTML=message;
}

    function getPosition(data){
    var message="The position you are offered is "+data.position;
    elem.innerHTML=message;
    }
    </script>
    </body>
    </html>

服务器.php

  <?php

    $callback=$_GET["callback"];
    echo $callback;

    if($callback=='getCompany')
    $response="({\"company\":\"Google\",\"image\":\"xyz.jpg\"})";

    else
    $response="({\"position\":\"Development Intern\"})";
    echo $response;

    ?>    

在理解JSONP之前，您需要了解JSON格式和XML。目前，web上最常用的数据格式是XML，但XML非常复杂。这使得用户不方便处理嵌入在网页中的内容。

为了使JavaScript能够轻松地交换数据，即使作为数据处理程序，我们也根据JavaScript对象使用了措辞，并开发了一种简单的数据交换格式，即JSON。JSON可以用作数据，也可以用作JavaScript程序。

JSON可以直接嵌入JavaScript中，使用它们可以直接执行某些JSON程序，但由于安全限制，浏览器沙盒机制禁用跨域JSON代码执行。

为了使JSON可以在执行后传递，我们开发了一个JSONP。JSONP通过JavaScript回调功能和＜script＞标记绕过浏览器的安全限制。

简而言之，它解释了JSONP是什么，它解决了什么问题（何时使用它）。

JSONP代表带填充的JSON。

这是一个网站，有很多例子，从最简单的使用这一技术到最先进的平面JavaScript的解释：

w3schools.com/JSONP

上面描述的我最喜欢的技术之一是Dynamic JSON Result，它允许以URL参数将JSON发送到PHP文件，并让PHP文件根据获得的信息返回JSON对象。

jQuery等工具也有使用JSONP的工具：

jQuery.ajax({
  url: "https://data.acgov.org/resource/k9se-aps6.json?city=Berkeley",
  jsonp: "callbackName",
  dataType: "jsonp"
}).done(
  response => console.log(response)
);

这是我为那些需要的人所做的ELI5（像我一样解释我）尝试。

TL；博士

JSONP是为了绕过浏览器中的安全限制而发明的一个老把戏，该限制禁止我们获取不同于我们自己的网站/服务器（称为不同的源1）中的数据。

该技巧通过使用＜script＞标签从其他地方加载JSON（例如：｛“city”：“Barcelona”｝）来实现，这将向我们发送封装在函数中的数据，即实际的JSONP（“带填充的JSON”）：

tourismJSONP({"city":"Barcelona"})

通过这种方式接收数据，我们可以在旅游JSONP功能中使用数据。JSONP是一种糟糕的做法，不再需要，不要使用它（请在最后阅读）。

问题是

假设我们想在我们的web.com上使用另一个web.com上托管的一些JSON数据（或任何原始数据）。如果我们要使用GET请求（想想XMLHttpRequest，或fetch调用，$.ajax等），我们的浏览器会告诉我们，这是不允许的，并且会出现以下错误：

这是一个内容安全策略限制错误，旨在保护用户免受某些攻击。您应该正确配置它（请参见末尾）。

JSONP技巧对我们有何帮助？好吧，＜script＞标签不受整个服务器（origin1）的限制！这就是为什么我们可以从任何服务器加载像jQuery或GoogleMaps这样的库。

重要的一点是：如果你仔细想想，这些库是实际的、可运行的JS代码（通常是一个包含所有逻辑的大型函数）。但原始数据不是代码。没有什么可跑的；这只是纯文本。

因此，浏览器将下载<script>标记所指向的数据，在处理时，它会理所当然地抱怨：

这是我们装的垃圾吗？这不是代码。我不会计算！

旧的JSONP黑客

如果我们能让纯文本以某种方式运行，我们就能在运行时获取它。我们需要另一个web.com将其作为代码发送，因此当下载时，浏览器将运行它。我们只需要两件事：1）以可以运行的方式获取数据，2）在客户端中编写一些代码，以便在数据运行时调用我们的函数并使用数据。

对于1）如果外部服务器是JSONP友好的，我们将要求提供如下数据：

<script src="https://anotherweb.com/api/tourism-data.json?myCallback=tourismJSONP"></script>

所以我们会收到这样的信息：

tourismJSONP({"city":"Barcelona"})

这使得我们可以使用JS代码进行交互。

根据2），我们需要在代码中编写一个同名函数，如下所示：

function tourismJSONP(data){
  alert(data.city); // "Barcelona"
}

浏览器将下载JSONP并运行它，它调用我们的函数，其中参数数据将是来自另一个web.com的JSON数据。我们现在可以随心所欲地处理数据。

不要使用JSONP，使用CORS

JSONP是一种跨站点黑客，有一些缺点：

我们只能执行GET请求由于这是一个由简单脚本标记触发的GET请求，因此我们不会得到有用的错误或进度信息还有一些安全问题，比如在客户端JS代码中运行，可能会被更改为恶意负载它只解决了JSON数据的问题，但同源安全策略适用于其他数据（WebFonts、使用drawImage（）绘制的图像/视频…）它既不优雅，也不可读。

重要的是现在没有必要使用它。

您应该在这里阅读CORS，但其要点是：

跨源资源共享（CORS）是一种使用额外的HTTP头，告诉浏览器提供web应用程序在一个源上运行，从另一个源访问所选资源起源当web应用程序执行跨源HTTP请求时请求具有不同来源（域、协议或端口）。

---

起源由三个方面定义：协议、端口和主机。所以https://web.com与http://web.com（不同的协议）https://web.com:8081（不同的港口），显然https://thatotherweb.net（不同主机）

出身背景

您应该尽可能使用CORS（即您的服务器或API支持它，浏览器支持足够），因为JSONP具有固有的安全风险。

示例

JSONP（带填充的JSON）是一种常用于绕过web浏览器中的跨域策略。（您不允许对浏览器认为位于不同服务器上的网页发出AJAX请求。）

JSON和JSONP在客户端和服务器上的行为不同。JSONP请求不会使用XMLHTTPRequest和关联的浏览器方法进行调度。而是创建一个＜script＞标记，其源设置为目标URL。然后将此脚本标记添加到DOM（通常在＜head＞元素内）。

JSON请求：

var xhr = new XMLHttpRequest();

xhr.onreadystatechange = function () {
  if (xhr.readyState == 4 && xhr.status == 200) {
    // success
  };
};

xhr.open("GET", "somewhere.php", true);
xhr.send();

JSONP请求：

var tag = document.createElement("script");
tag.src = 'somewhere_else.php?callback=foo';
  
document.getElementsByTagName("head")[0].appendChild(tag);

JSON响应和JSONP响应之间的区别在于，JSONP应答对象作为参数传递给回调函数。

JSON：

 { "bar": "baz" }

日本电话：

foo( { "bar": "baz" } );

这就是为什么您看到包含回调参数的JSONP请求，以便服务器知道包装响应的函数的名称。

当浏览器评估＜script＞标记时（请求完成后），该函数必须存在于全局范围中。

处理JSON响应和JSONP响应之间需要注意的另一个区别是，JSON响应中的任何解析错误都可以通过包装对responseText求值的尝试来捕获在try/catch语句中。由于JSONP响应的性质，响应中的解析错误将导致无法缓存的JavaScript解析错误。

这两种格式都可以通过在启动请求之前设置超时并在响应处理程序中清除超时来实现超时错误。

使用jQuery

使用jQuery发出JSONP请求的有用之处在于，jQuery在后台为您完成所有工作。

默认情况下，jQuery要求您包含&callback=？在AJAX请求的URL中。jQuery将接受您指定的成功函数，为其分配一个唯一的名称，并将其发布到全局范围中。然后它将取代问号？在回调中=？使用它指定的名称。

比较类似的JSON和JSONP实现

以下假定响应对象｛“bar”：“baz”｝

JSON：

   var xhr = new XMLHttpRequest();
    
    xhr.onreadystatechange = function () {
      if (xhr.readyState == 4 && xhr.status == 200) {
        document.getElementById("output").innerHTML = eval('(' + this.responseText + ')').bar;
      };
    };
    
    xhr.open("GET", "somewhere.php", true);
    xhr.send();

日本电话：

 function foo(response) {
      document.getElementById("output").innerHTML = response.bar;
    };
    
    var tag = document.createElement("script");
    tag.src = 'somewhere_else.php?callback=foo';
    
    document.getElementsByTagName("head")[0].appendChild(tag);