Funktionsweise und Nachteile von JSON-P

JSON-P ist die gängige Methode zur Realisierung von clientseitigen Mashups. JSON-P ist JSON, umschlossen von einem JavaScript-Funktionsaufruf.

Autoren betten JSON-P über das script Element ein. Der Browser bezieht JSON-P vom fremden Server und wertet es im Kontext der anfragenden Seite als JavaScript aus. Das Script ruft eine Funktion (Callback) auf und übergibt dieser die Daten im JSON-Format. Die Callback-Funktion bestimmt, wie die Daten auszuwerten sind.

Dieser sogenannte script Tag Hack umgeht die Same-Origin-Policy des Browsers, denn die Same-Origin-Policy gilt nicht für das script Element. Der Hack ist unsicher, weil das Script des fremden Servers uneingeschränkten Zugriff auf das DOM der anfragenden Seite hat. Angenommen, der Server wurde durch einen Hacker kompromittiert. Das Script fügt dem DOM der Seite ein Formular hinzu. Der Hacker nutzt so die Glaubwürdigkeit einer Seite aus um Daten zu erspähen.

Proxy Worker

Gears Worker führen im Hintergrund JavaScript aus. Worker laufen isoliert voneinander ab und haben keinen Zugriff auf die Daten des Hauptprogramms. Das hat zur Konsequenz, dass Scripte, die in einem Worker ablaufen, nicht das DOM manipulieren können. Worker kommunizieren untereinander und mit dem Hauptprogramm über Nachrichten.

Gears Worker schaffen damit die technischen Vorraussetzungen zur isolierten Ausführung von Scripten fremden Ursprungs.

// "local" script (originates from same origin as the page)
        
        // NOTE: requires gears_init.js and json2.js
        
        var app = {
          init: function() {
            // set up worker pool
            var workerPool = google.gears.factory.create('beta.workerpool');

// this callback function handles messages returned by a worker
            workerPool.onmessage = this.jsonHandler;

// create a worker from url
            // cross origin, content cannot be trusted
            // (a local copy of the file can be found in javascripts/proxyworker.js)
            proxyWorkerId = 
              workerPool.createWorkerFromUrl(
                'http://www.tknetwork.de/sandbox/gears/javascripts/proxyworker.js'
              );

// request JSON
            workerPool.sendMessage("", proxyWorkerId);
          },
          jsonHandler: function(messageText, sender, message) {
            if(message.origin == "http://www.tknetwork.de") {
              var result = message.body;
              // make sure we have valid json
              var json = JSON.parse(JSON.stringify(result));
              
              // add image to the DOM
              var content = '<img src="' + json.sizes.size[2].source + '">';
              document.getElementById('flickr').innerHTML = content;
              
            } else {
              alert("Message from unexpected origin. Ignoring for security reasons.")
            }
          }
        }

// wait for the DOM to be loaded 
        document.addEventListener('DOMContentLoaded', function(event) {
          app.init();
        }, false);

// "remote" script, e.g. from Flickr or Google  
        
        // a dynamic "representative" that speaks JavaScript, delivered by the vendor
        // in other words, a cross-origin worker
        // inspired by: http://glazkov.com/2008/06/02/gears-workers/

// Flickr (or any other popular service) does not yet send files like this,
        // so this is just a mock up

// reference to the worker pool
        var workerPool = google.gears.workerPool;

// allow being used across origin
        workerPool.allowCrossOrigin();

workerPool.onmessage = function(messageText, senderId, message) {
          // using: http://api.flickr.com/services/rest
          // greetings to Mr Fuchs ;)
          
          // of course, what follows should be dynamic, 
          // i.e. dependent on what kind of URL the worker is created from

var result = {
              "sizes": {
                  "canblog": 0,
                  "canprint": 0,
                  "candownload": 1,
                  "size": [
                      {
                          "label": "Square",
                          "width": 75,
                          "height": 75,
                          "source": "http:\/\/farm1.static.flickr.com\/81\/274914769_dc48966b79_s.jpg",
                          "url": "http:\/\/www.flickr.com\/photos\/wdso\/274914769\/sizes\/sq\/",
                          "media": "photo"
                      },
                      {
                          "label": "Thumbnail",
                          "width": "100",
                          "height": "54",
                          "source": "http:\/\/farm1.static.flickr.com\/81\/274914769_dc48966b79_t.jpg",
                          "url": "http:\/\/www.flickr.com\/photos\/wdso\/274914769\/sizes\/t\/",
                          "media": "photo"
                      },
                      {
                          "label": "Small",
                          "width": "240",
                          "height": "129",
                          "source": "http:\/\/farm1.static.flickr.com\/81\/274914769_dc48966b79_m.jpg",
                          "url": "http:\/\/www.flickr.com\/photos\/wdso\/274914769\/sizes\/s\/",
                          "media": "photo"
                      },
                      {
                          "label": "Medium",
                          "width": "500",
                          "height": "268",
                          "source": "http:\/\/farm1.static.flickr.com\/81\/274914769_dc48966b79.jpg",
                          "url": "http:\/\/www.flickr.com\/photos\/wdso\/274914769\/sizes\/m\/",
                          "media": "photo"
                      },
                      {
                          "label": "Large",
                          "width": "1024",
                          "height": "549",
                          "source": "http:\/\/farm1.static.flickr.com\/81\/274914769_dc48966b79_b.jpg",
                          "url": "http:\/\/www.flickr.com\/photos\/wdso\/274914769\/sizes\/l\/",
                          "media": "photo"
                      }
                  ]
              },
              "stat": "ok"
          };

// pass the result of the JSON Request back to the sender
          workerPool.sendMessage(result, message.sender);
        };

// malicious code, injected by a sneaky hacker
        // document.getElementById('bankform').innerHTML = ""
        // fails, because a worker cannot access 'document'

Hinweise

Funktionsweise und Nachteile von JSON-P

Proxy Worker