ajax 跨域问题
[ 2008-04-23 08:31:13 | 作者: admin ]
p.s.对于js的跨域问题的确相当令人头痛
1. 当顶级域名相同的时候或可以设置 document.domain。
2. 把垮域的网站映射到使用ajax的网站下的目录,这样就没有垮域的问题了。但这个方法,仅适用于跨域的两个站点在同一台机器上(除非使用NFS).
3. 使用服务器的mod_proxy,类似于上一条方案。只不过apache充当了代理服务器。
4. web service 可以从跨域的站点上取回数据,回复给客户端,从而避免ajax跨域的数据交换 (也需要解决跨域cookie)
5. 自建代理,对于一些简单的操作,我们可以在自己的服务器上做个代理来解决。该方法也有个问题,虽然可以在服务器端传递cookie,却难以实现客户端cookie的跨域访问。
下面说明第5个,关于自建代理的情况,其实道理浅显。
这个应该归到javascript的安全性问题一般服务器A设置的是不允许别的域的机器B执行B上的ajax调用服务器A上的资源原因,可以举个简单的安全隐患例子:
假设ajax可以垮域访问,那么我在自己机器上可以写ajax请求Google各类web应用中的资源比如先用firefox研究GMail在登录过程中大量ajax请求的地址以及参数,可以得到用户cookie的验证过程然后写js去跨域获取别的用户的cookie,这样可以绕过用户的GMail密码而登入他人的GMail邮箱
那么有了ajax跨域限制,是不是就真的不能做ajax垮域访问了?
ajax垮域确实不行,但是我们可以中转实现,也就是所谓的代理
原理很简单,在自己的js跟远程服务器A的资源之间架设一个自己的容器
可以用asp、php、java、.net等所有可以的动态web语言
以asp为例(获取热得快网站某个用户的好友列表,返回xml数据格式)
<%
p = "http://www.52News.com/api"
Response.BinaryWrite ZQcnGet(p)
Response.Flush
Function ZQcnGet(url)
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "Get", url, False, "", ""
.Send
ZQcnGet = .ResponseBody
End With
Set Retrieval = Nothing
End Function
%>
这段代码保存为一个proxy.asp,然后放到IIS里,这个时候就可以随便找个机器写js了,用ajax请求proxy.asp,最后相当于实现了ajax垮域访问
php的示例代码更简单
echo file_get_contents("http://www.52News.com/api"");
?>
注:php版本需要>= 4.3.0
再给个asp.net(C#)版本的示例代码:
using System.Net;
using System.IO;
using System.Text;
public partial class ajaxpages: System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
WebRequest wr = WebRequest.Create("http://www.52News.com/api");
WebResponse wres = wr.GetResponse ();
Encoding resEncoding = System.Text.Encoding.GetEncoding("utf-8");
StreamReader sr = new StreamReader(wres.GetResponseStream(), resEncoding);
string html = sr.ReadToEnd();
Response.Write(html);
sr.Close();
wres.Close();
}
}
分别为proxy.asp proxy.php proxy.aspx
那么做好代理,实现了自己一般机器(非web服务器)上js垮域访问远程网站资源有什么实际的意义呢?
要知道,现在的互联网技术已经进入了绝对的Mashup时代
老美有2k多个公司靠做facebook的APP存活着,国外的这种产业链真的不能在国内发展吗?要知道5年后互联网也会成为中国的基础设施了
已经有做的比较好的web2.0站点在开放API或者准备开放
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=1093
1. 当顶级域名相同的时候或可以设置 document.domain。
2. 把垮域的网站映射到使用ajax的网站下的目录,这样就没有垮域的问题了。但这个方法,仅适用于跨域的两个站点在同一台机器上(除非使用NFS).
3. 使用服务器的mod_proxy,类似于上一条方案。只不过apache充当了代理服务器。
4. web service 可以从跨域的站点上取回数据,回复给客户端,从而避免ajax跨域的数据交换 (也需要解决跨域cookie)
5. 自建代理,对于一些简单的操作,我们可以在自己的服务器上做个代理来解决。该方法也有个问题,虽然可以在服务器端传递cookie,却难以实现客户端cookie的跨域访问。
下面说明第5个,关于自建代理的情况,其实道理浅显。
这个应该归到javascript的安全性问题一般服务器A设置的是不允许别的域的机器B执行B上的ajax调用服务器A上的资源原因,可以举个简单的安全隐患例子:
假设ajax可以垮域访问,那么我在自己机器上可以写ajax请求Google各类web应用中的资源比如先用firefox研究GMail在登录过程中大量ajax请求的地址以及参数,可以得到用户cookie的验证过程然后写js去跨域获取别的用户的cookie,这样可以绕过用户的GMail密码而登入他人的GMail邮箱
那么有了ajax跨域限制,是不是就真的不能做ajax垮域访问了?
ajax垮域确实不行,但是我们可以中转实现,也就是所谓的代理
原理很简单,在自己的js跟远程服务器A的资源之间架设一个自己的容器
可以用asp、php、java、.net等所有可以的动态web语言
以asp为例(获取热得快网站某个用户的好友列表,返回xml数据格式)
<%
p = "http://www.52News.com/api"
Response.BinaryWrite ZQcnGet(p)
Response.Flush
Function ZQcnGet(url)
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "Get", url, False, "", ""
.Send
ZQcnGet = .ResponseBody
End With
Set Retrieval = Nothing
End Function
%>
这段代码保存为一个proxy.asp,然后放到IIS里,这个时候就可以随便找个机器写js了,用ajax请求proxy.asp,最后相当于实现了ajax垮域访问
php的示例代码更简单
echo file_get_contents("http://www.52News.com/api"");
?>
注:php版本需要>= 4.3.0
再给个asp.net(C#)版本的示例代码:
using System.Net;
using System.IO;
using System.Text;
public partial class ajaxpages: System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
WebRequest wr = WebRequest.Create("http://www.52News.com/api");
WebResponse wres = wr.GetResponse ();
Encoding resEncoding = System.Text.Encoding.GetEncoding("utf-8");
StreamReader sr = new StreamReader(wres.GetResponseStream(), resEncoding);
string html = sr.ReadToEnd();
Response.Write(html);
sr.Close();
wres.Close();
}
}
分别为proxy.asp proxy.php proxy.aspx
那么做好代理,实现了自己一般机器(非web服务器)上js垮域访问远程网站资源有什么实际的意义呢?
要知道,现在的互联网技术已经进入了绝对的Mashup时代
老美有2k多个公司靠做facebook的APP存活着,国外的这种产业链真的不能在国内发展吗?要知道5年后互联网也会成为中国的基础设施了
已经有做的比较好的web2.0站点在开放API或者准备开放
[最后修改由 admin, 于 2008-04-23 11:20:13]
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=1093
这篇日志没有评论。
此日志不可发表评论。
