Go语言不直接支持JSONP,需手动拼接回调函数与JSON数据并设Content-Type为text/javascript,关键要校验callback参数防XSS,用正则白名单确保仅含字母、数字、下划线和点号,匹配失败返回400错误。
Go语言本身不直接支持JSONP,因为JSONP是前端绕过同源策略的“伪跨域”方案,本质是动态生成一段JavaScript代码,把JSON数据包裹在回调函数里返回。后端只需按约定拼接字符串即可,无需额外库。
理解JSONP响应格式
JSONP请求通常带一个 callback 查询参数,例如:
/api/data?callback=handleResponse
服务端需返回类似这样的响应体(Content-Type: text/javascript):
handleResponse({"name": "Alice", "age": 30});
注意末尾的分号和括号,这是合法JS语句必需的。
基础实现:手动拼接回调
使用标准 net/http 即可,关键点有三个:校验 callback 参数、设置正确 Content-Type、安全转义 JSON 数据。
- 用 url.QueryEscape 或正则限制 callback 名称,防止 XSS(如
只允许字母、数字、下划线、点号) - 用 json.Marshal 序列化数据,避免手动拼 JSON 字符串出错
- 响应头设为 text/javascript,而非 application/json
只允许字母、数字、下划线、点号)安全处理 callback 参数
不要直接信任用户传入的 callback 值。推荐用白名单或正则校验:
validCallback := regexp.MustCompile(`^[a-zA-Z_$][a-zA-Z0-9_$]*$`).MatchString(callback)
若不匹配,可返回 400 错误,或降级为普通 JSON(不带 callback)并提示客户端检查参数。
完整示例代码
以下是一个最小可用 handler:
func jsonpHandler(w http.ResponseWriter, r *http.Request) {
callback := r.URL.Query().Get("callback")
if callback == "" {
http.Error(w, "missing callback", http.StatusBadRequest)
return
}
if !regexp.MustCompile(`^[a-zA-Z_$][a-zA-Z0-9_$]*$`).MatchString(callback) {
http.Error(w, "invalid callback name", http.StatusBadRequest)
return
}
data := map[string]interface{}{"message": "Hello from Go!", "status": "ok"}
jsonBytes, _ := json.Marshal(data)
w.Header().Set("Content-Type", "text/javascript; charset=utf-8")
fmt.Fprintf(w, "%s(%s);", callback, jsonBytes)
}
注册路由:http.HandleFunc("/api", jsonpHandler)
基本上就这些。JSONP虽已逐渐被 CORS 取代,但在兼容老系统或特定嵌入场景中仍有实用价值,实现起来也不复杂但容易忽略安全细节。
