Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goで理解するJSONP(JSON with Padding)

Avatar for yamatai12 yamatai12
October 08, 2025
Technology
0
51

Goで理解するJSONP(JSON with Padding)

こちらのイベントでLTをさせていただきました。
https://kyotogo.connpass.com/event/369601/

以下の記事をコンパクトにしたものです。
https://qiita.com/yamatai12/items/68630a4e6139eee4b681

## まとめ
クロスオリジンリソース共有(CORS)ができる前は同一生成元(オリジン)ポリシーにより、HTTP通信をする際は基本的には同じ生成元(ドメイン)にしかアクセスできないです。
これを解消する為に当時JSONPが生まれました。
基本的には今はCORSがあるのでクロスオリジンの場合はCORSで許可するのが安全だなと思いました。

Avatar for yamatai12

yamatai12

October 08, 2025
Tweet

More Decks by yamatai12

See All by yamatai12
Goの標準パッケージregexpが先読みに対応していない件
Avatar for yamatai12 yamatai1212
0
14
X-Forwarded-Forヘッダー偽装に負けないClientIPの決め方(With Gin)
Avatar for yamatai12 yamatai1212
0
44
OAuthからOIDCへ ― 認可の仕組みが認証に拡張されるまで
Avatar for yamatai12 yamatai1212
0
160
OAuthは認証ではなく認可の仕組みである 🔑(完全に理解したLT)
Avatar for yamatai12 yamatai1212
1
96
OAuth登場前にあった複数サービス連携の課題🔑
Avatar for yamatai12 yamatai1212
0
140
Web標準と互換性の世界をざっくり見渡してみよう
Avatar for yamatai12 yamatai1212
0
78
Goで遊ぶHTTPミドルウェア ― X-HTTP-Method-Overrideを試してみた
Avatar for yamatai12 yamatai1212
1
140
ISの役割から具体的な業務内容を理解する_社外向け_.pdf
Avatar for yamatai12 yamatai1212
0
19
dependency-cruiserを紹介します/dependency-cruiser-description
Avatar for yamatai12 yamatai1212
1
1.7k

Other Decks in Technology

See All in Technology
AI時代、“平均値”ではいられない
Avatar for uhyo uhyo
8
2.6k
頭部ふわふわ浄酔器
Avatar for uyupun uyupun
0
110
Azure Well-Architected Framework入門
Avatar for tomokusaba tomokusaba
1
130
現場データから見える、開発生産性の変化コード生成AI導入・運用のリアル〜 / Changes in Development Productivity and Operational Challenges Following the Introduction of Code Generation AI
Avatar for NTT docomo Business nttcom
1
480
【SORACOM UG Explorer 2025】さらなる10年へ ~ SORACOM MVC 発表
Avatar for SORACOM soracom
PRO
0
150
Observability — Extending Into Incident Response
Avatar for Narimichi Takamura nari_ex
1
310
コンパウンド組織のCRE #cre_meetup
Avatar for LayerX layerx
PRO
1
270
個人でデジタル庁の デザインシステムをVue.jsで 作っている話
Avatar for にしはら nishiharatsubasa
3
5.1k
Retrospectiveを振り返ろう
Avatar for なかしょ nakasho
0
110
ストレージエンジニアの仕事と、近年の計算機について / 第58回 情報科学若手の会
Avatar for Preferred Networks pfn
PRO
3
840
AI AgentをLangflowでサクッと作って、1日働かせてみた!
Avatar for Yano-13 yano13
1
160
JSConf JPのwebsiteをGatsbyからNext.jsに移行した話 - Next.jsの多言語静的サイトと課題
Avatar for Leko leko
2
190

Featured

See All Featured
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.9k
KATA
Avatar for Megan Lloyd mclloyd
PRO
32
15k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
15k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
526
40k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.5k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
303
21k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
269
13k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
700

Transcript

  1. Goで理解するJSONP(JSON with Padding) yamatai12 1

  2. 自己紹介 yamatai12(Webエンジニア) SNS X(taiyama1212) Qiita(yamatai12) Zenn(yamatai12) 好きなこと ジム 2

  3. 背景 こちらの「Web API: The Good Parts」を読んでいてJSONPについて知った為 3

  4. なぜJSONPが生まれたのか クロスオリジンリソース共有(CORS)ができる前は同一生成元(オリジン)ポリシー により、HTTP通信をする際は基本的には同じ生成元(ドメイン)にしかアクセスでき ない。 これを解消する為にJSONPが生まれた。 4

  5. script要素は同一生成元ポリシーの対象外。 例)CodePen CodePen上の作品を、他のページに<iframe>として埋め込むことができる。 5

  6. JSONPの技術はフロントエンドでは以下のように実現する。 <script> function myFunction(data){ console.log(data) } </script> <script src="https://api.test.com/uers/?callback=myFunction"></script> バックエンドはhttps://api.test.com/uers/?callback=myFunction

    で以下のようにjavascriptファイルを返す。 myFunction({ "id": 42, "name": "Alice" }); 6

  7. JSONP対応したAPIを実装する func (s *Server) JSONPHandler(w http.ResponseWriter, r *http.Request) { //

    Parse the callback parameter callback := r.URL.Query().Get("callback") if callback == "" { callback = "callback" // Default callback name if not provided } // Create the JSON response resp := map[string]string{"message": "Hello JSONP"} jsonResp, err := json.Marshal(resp) if err != nil { http.Error(w, "Failed to marshal response", http.StatusInternalServerError) return } // Write the JSONP response w.Header().Set("Content-Type", "application/javascript") if _, err := w.Write([]byte(callback + "(" + string(jsonResp) + ");")); err != nil { log.Printf("Failed to write response: %v", err) } } 7

  8. エンドポイントhttp://localhost:8080/jsonpにリクエストを送ると、jsonpが返される。 curl http://localhost:8080/jsonp callback({"message":"Hello JSONP"}); 実際に作ったAPIは以下。 https://github.com/yamatai12/golang-jsonp 8

  9. フロントエンドからfetchでjsonpにリクエストを送る https://codepen.ioのページから異なるオリジンであるhttp://localhost:8080にリクエス トを送ったのでCORSエラーになる。 9

  10. フロントエンドからscriptタグを置いて実行する 以下のようにscriptタグを置くことで確かに同一生成元(オリジン)ポリシーを回避で きた。 <script> function myFunction(data){ console.log(data) } </script> <script

    src="http://localhost:8080/jsonp?callback=myFunction"></script> 以下がconsoleに表示される。 { "message": "Hello JSONP" } 10

  11. 注意点 このような同一生成元(オリジン)ポリシーというセキュリティに関する制限を回避 するテクニックは必要な時のみに使用することをお勧めする。 JSONPを利用する場合 JavaScriptを返すAPIが信頼できるか確認する JSONPを公開する場合 外部から利用されて問題ないことを確認する 11

  12. まとめ jsonpの技術がわかった クロスオリジンポリシーを回避したいときは外部サイトから埋め込んで表示した い時が例としてあるなと改めて思った JSONPに対応したAPIを使ったり、公開する場合はセキュリティに気をつけないと いけない 12

  13. 参考 https://qiita.com/yamatai12/items/68630a4e6139eee4b681 https://memo.ag2works.tokyo/post-4424/ https://www.oreilly.co.jp/books/9784873116860/ https://bob.ippoli.to/archives/2005/12/05/remote-json-jsonp/ https://gihyo.jp/dev/serial/01/crossbrowser-javascript/0011#sec5 13