Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goで理解するJSONP(JSON with Padding)

Avatar for 山根大生 山根大生
October 08, 2025
Technology
0
7

Goで理解するJSONP(JSON with Padding)

こちらのイベントでLTをさせていただきました。
https://kyotogo.connpass.com/event/369601/

以下の記事をコンパクトにしたものです。
https://qiita.com/yamatai12/items/68630a4e6139eee4b681

## まとめ
クロスオリジンリソース共有(CORS)ができる前は同一生成元(オリジン)ポリシーにより、HTTP通信をする際は基本的には同じ生成元(ドメイン)にしかアクセスできないです。
これを解消する為に当時JSONPが生まれました。
基本的には今はCORSがあるのでクロスオリジンの場合はCORSで許可するのが安全だなと思いました。

Avatar for 山根大生

山根大生

October 08, 2025
Tweet

More Decks by 山根大生

See All by 山根大生
OAuthは認証ではなく認可の仕組みである 🔑(完全に理解したLT)
Avatar for 山根大生 yamatai1212
1
71
OAuth登場前にあった複数サービス連携の課題🔑
Avatar for 山根大生 yamatai1212
0
20
Web標準と互換性の世界をざっくり見渡してみよう
Avatar for 山根大生 yamatai1212
0
77
Goで遊ぶHTTPミドルウェア ― X-HTTP-Method-Overrideを試してみた
Avatar for 山根大生 yamatai1212
1
130
ISの役割から具体的な業務内容を理解する_社外向け_.pdf
Avatar for 山根大生 yamatai1212
0
15
dependency-cruiserを紹介します/dependency-cruiser-description
Avatar for 山根大生 yamatai1212
1
1.6k
ESLintで命名規則のチェックをする(LT版)/eslint-naming-convention
Avatar for 山根大生 yamatai1212
1
500
1年足らずで記事を100個投稿してみた(LT版) / 100-articles-in-one-year
Avatar for 山根大生 yamatai1212
0
160
記事の一歩目は業務内容から
Avatar for 山根大生 yamatai1212
0
660

Other Decks in Technology

See All in Technology
BtoBプロダクト開発の深層
Avatar for 16bit_idol 16bitidol
0
300
定期的な価値提供だけじゃない、スクラムが導くチームの共創化 / 20251004 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
3
300
DataOpsNight#8_Terragruntを用いたスケーラブルなSnowflakeインフラ管理
Avatar for Hiroki Yamagishi roki18d
1
340
Modern_Data_Stack最新動向クイズ_買収_AI_激動の2025年_.pdf
Avatar for Sagara sagara
0
200
Green Tea Garbage Collector の今
Avatar for zchee zchee
PRO
2
390
実装で解き明かす並行処理の歴史
Avatar for ZOZO Developers zozotech
PRO
1
320
空間を設計する力を考える / 20251004 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
3
330
OCI Network Firewall 概要
Avatar for oracle4engineer oracle4engineer
PRO
1
7.8k
Large Vision Language Modelを用いた 文書画像データ化作業自動化の検証、運用 / shibuya_AI
Avatar for Sansan R&D sansan_randd
0
110
Why React!?? Next.jsそしてReactを改めてイチから選ぶ
Avatar for ypresto ypresto
10
4.5k
「AI駆動PO」を考えてみる - 作る速さから価値のスループットへ:検査・適応で未来を開発 / AI-driven product owner. scrummat2025
Avatar for yosuke nagai yosuke_nagai
4
590
Why Governance Matters: The Key to Reducing Risk Without Slowing Down
Avatar for Sarah Wells sarahjwells
0
110

Featured

See All Featured
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
53
9k
It's Worth the Effort
Avatar for 3n 3n
187
28k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
347
40k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
79
6k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.6k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
114
20k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
64
7.9k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1.1k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
51k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.8k

Transcript

  1. Goで理解するJSONP(JSON with Padding) yamatai12 1

  2. 自己紹介 yamatai12(Webエンジニア) SNS X(taiyama1212) Qiita(yamatai12) Zenn(yamatai12) 好きなこと ジム 2

  3. 背景 こちらの「Web API: The Good Parts」を読んでいてJSONPについて知った為 3

  4. なぜJSONPが生まれたのか クロスオリジンリソース共有(CORS)ができる前は同一生成元(オリジン)ポリシー により、HTTP通信をする際は基本的には同じ生成元(ドメイン)にしかアクセスでき ない。 これを解消する為にJSONPが生まれた。 4

  5. script要素は同一生成元ポリシーの対象外。 例)CodePen CodePen上の作品を、他のページに<iframe>として埋め込むことができる。 5

  6. JSONPの技術はフロントエンドでは以下のように実現する。 <script> function myFunction(data){ console.log(data) } </script> <script src="https://api.test.com/uers/?callback=myFunction"></script> バックエンドはhttps://api.test.com/uers/?callback=myFunction

    で以下のようにjavascriptファイルを返す。 myFunction({ "id": 42, "name": "Alice" }); 6

  7. JSONP対応したAPIを実装する func (s *Server) JSONPHandler(w http.ResponseWriter, r *http.Request) { //

    Parse the callback parameter callback := r.URL.Query().Get("callback") if callback == "" { callback = "callback" // Default callback name if not provided } // Create the JSON response resp := map[string]string{"message": "Hello JSONP"} jsonResp, err := json.Marshal(resp) if err != nil { http.Error(w, "Failed to marshal response", http.StatusInternalServerError) return } // Write the JSONP response w.Header().Set("Content-Type", "application/javascript") if _, err := w.Write([]byte(callback + "(" + string(jsonResp) + ");")); err != nil { log.Printf("Failed to write response: %v", err) } } 7

  8. エンドポイントhttp://localhost:8080/jsonpにリクエストを送ると、jsonpが返される。 curl http://localhost:8080/jsonp callback({"message":"Hello JSONP"}); 実際に作ったAPIは以下。 https://github.com/yamatai12/golang-jsonp 8

  9. フロントエンドからfetchでjsonpにリクエストを送る https://codepen.ioのページから異なるオリジンであるhttp://localhost:8080にリクエス トを送ったのでCORSエラーになる。 9

  10. フロントエンドからscriptタグを置いて実行する 以下のようにscriptタグを置くことで確かに同一生成元(オリジン)ポリシーを回避で きた。 <script> function myFunction(data){ console.log(data) } </script> <script

    src="http://localhost:8080/jsonp?callback=myFunction"></script> 以下がconsoleに表示される。 { "message": "Hello JSONP" } 10

  11. 注意点 このような同一生成元(オリジン)ポリシーというセキュリティに関する制限を回避 するテクニックは必要な時のみに使用することをお勧めする。 JSONPを利用する場合 JavaScriptを返すAPIが信頼できるか確認する JSONPを公開する場合 外部から利用されて問題ないことを確認する 11

  12. まとめ jsonpの技術がわかった クロスオリジンポリシーを回避したいときは外部サイトから埋め込んで表示した い時が例としてあるなと改めて思った JSONPに対応したAPIを使ったり、公開する場合はセキュリティに気をつけないと いけない 12

  13. 参考 https://qiita.com/yamatai12/items/68630a4e6139eee4b681 https://memo.ag2works.tokyo/post-4424/ https://www.oreilly.co.jp/books/9784873116860/ https://bob.ippoli.to/archives/2005/12/05/remote-json-jsonp/ https://gihyo.jp/dev/serial/01/crossbrowser-javascript/0011#sec5 13