JSONP不能解决PHP跨域问题,它仅是前端利用script标签跨域特性的伪请求技巧,PHP只需按约定返回callback(data)格式的JavaScript代码,且须校验回调名、设置正确Content-Type并确保HTTP状态码为200。
JSONP 不能解决 PHP 跨域问题——它压根不涉及服务端逻辑,只是前端绕过浏览器同源策略的一种“假请求”技巧。PHP 侧无需特殊处理 JSONP,但必须配合返回特定格式的 JavaScript 调用代码,否则前端会报 Unexpected token : 或直接静默失败。
JSONP 请求到底发生了什么
浏览器允许 标签跨域加载 JS 文件,JSONP 就是利用这一点:把数据包装成函数调用,由服务端动态生成一段可执行 JS。前端传入回调函数名(如 callback=handleData),PHP 脚本读取该参数,输出类似 handleData({"name": "Alice"}) 的响应体。
关键点:
- HTTP 状态码必须是 200,不能是 4xx/5xx(否则 script 加载失败,无错误提示)
- 响应头
Content-Type应设为application/javascript(非必需但推荐) - PHP 不需要开启 CORS、不涉及
Access-Control-Allow-Origin - 只支持 GET,无法发 POST 或带 Cookie 的请求
PHP 端最简 JSONP 响应写法
不要依赖框架自动处理 JSONP,手写更可控。重点在参数校验和输出安全:
立即学习“PHP免费学习笔记(深入)”;
- 必须校验
$_GET['callback']是否为合法函数名(只含字母、数字、下划线、美元符),防止 XSS - 数据需用
json_encode()编码,再拼接到回调中,避免手动拼接引号出错 - 输出前清空缓冲区,防止 BOM 或空格导致 JS 解析失败
'Bob', 'role' => 'admin'];
echo $_GET['callback'] . '(' . json_encode($data, JSON_UNESCAPED_UNICODE) . ');';
?>
jQuery.ajax 的 JSONP 配置陷阱
现代 jQuery(3.0+)已弱化 JSONP 支持,dataType: 'jsonp' 仍可用,但容易踩坑:
- 默认使用
callback=?,但 PHP 脚本若硬编码解析callback参数名,就无法兼容其他库(如原生 fetch 封装) - 超时时间需显式设
timeout: 5000,否则默认为 0(无限等待) - 错误回调(
error)在 script 加载失败时才触发,数据格式错误不会进这里,只能靠浏览器控制台看Uncaught ReferenceError - 禁用缓存必须加
cache: false,否则 IE 下可能复用旧响应
为什么现在不该优先选 JSONP
它本质是历史妥协方案,已被现代标准淘汰:
- 不支持 HTTPS → HTTP 页面无法加载 HTTPS JSONP 端点(混合内容被阻止)
- 无法获取 HTTP 状态码或响应头,服务端错误只能靠约定字段(如
{"code":500,"msg":"xxx"}) - PHP 配合 CORS 更通用:
header('Access-Control-Allow-Origin: *');一行就能支撑所有 HTTP 方法 - 若需兼容老 IE(
真正要注意的是:当别人说“用 JSONP 解决跨域”,得先确认他是否理解——这其实是前端发起、后端配合的单向 GET 数据获取,不是 PHP 自己“解决”了跨域。
