前言

关于JSONP的配置有很多文章都讲过，也有很多实现方案。但本文依然存在的目的是规范JSONP。但为什么要规范?
本文基于的spring版本为5.1.7，在很多配置上会与5之前的版本有很大的区别。

为什么要规范JSONP

在springMVC 5的官方文档中，在CORS一章有说明不推荐使用JSONP。之所以推荐，就要先了解CORS，服务端最怕的就是恶意请求，其中有相当一部分是作为跨域请求过来的。CORS配置更加灵活的让开发人员控制自己的系统允许谁访问，不允许谁访问。但JSONP就不同，如果系统本身没有支持跨域，JSONP却可以绕过跨域限制。但老系统往往对JSONP都支持。

如果无法完全禁止系统中的JSONP，那就要规范JSONP。哪些接口可以被JSONP调用，哪些不可以。比如新增，修改等操作，比如直接查询数据库操作等等，通过CORS和对JSONP的规范能够拦截相当一部分非法请求。

实现方式

注解。 采用注解的方式来规范JSONP，包含注解的接口允许JSONP方法，不包含的将不允许JSONP访问。

添加一个注解类，该注解作用于是“方法”

@Target({ElementType.TYPE,ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@ResponseBody
public @interface JsonPResponseBody {

}

增加拦截类

@ControllerAdvice
public class JsonPResponseBodyAdvice implements ResponseBodyAdvice {

    /**
     * 返回true表示需要统一处理
     */
    @Override
    public boolean supports(MethodParameter returnType, Class converterType) {
        return returnType.hasMethodAnnotation(JsonPResponseBody.class) || AnnotatedElementUtils.hasAnnotation(returnType.getContainingClass(),JsonPResponseBody.class);
    }

    @Override
    public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
        HttpServletRequest httpServletRequest = ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes()).getRequest();
        HttpServletResponse httpServletResponse = ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes()).getResponse();
        String callbackParam = httpServletRequest.getParameter("callback");
        if(StringUtils.isEmpty(callbackParam)){
            return body;
        }else{
            StringBuilder sb = new StringBuilder(callbackParam);
            sb.append("(");
            sb.append(body);
            sb.append(")");
            String s = sb.toString();
            PrintWriter pw = null;
            try {
                pw = httpServletResponse.getWriter();
                pw.write(s);
            } catch (IOException e) {
                return s;
            } finally {
                if(pw != null){
                    pw.flush();
                    pw.close();
                }
            }
        }
        return null;
    }
}

比如现在要对某个接口支持jsonp

@JsonPResponseBody
@RequestMapping("/getList.json")
public Object getList(@RequestParam String key) {
}

因为JsonPResponseBody已经实现了@ResponseBody注解，接口方法上就可以忽略。

说明

supports是用来判断是否需要进行接口拦截，true表示拦截，样例中式在supports中进行了注解是否存在的判断，当然你也可以直接返回true, 在beforeBodyWrite统一处理也可以。
beforeBodyWrite就是在返回数据前的拦截操作。在这里可以变更要返回的数据。
如果在supports直接返回true,beforeBodyWrite做统一处理的话，有个好处，就是如果发现接口没有包含@JsonPResponseBody，但却存在callback，就可以直接认定为非法请求，直接将body设置空。