這個應該歸到javascript的安全性問題一般伺服器A設定的是不允許別的域的機器B執行B上的ajax調用伺服器A上的資源原因,可以舉個簡單的安全隱患例子:
假設ajax可以垮域訪問,那麼我在自己機器上可以寫ajax請求Google各類web應用中的資源比如先用firefox研究GMail在登錄過程中大量ajax請求的地址以及參數,可以得到用戶cookie的驗證過程然後寫js去跨域獲取別的用戶的cookie,這樣可以繞過用戶的GMail密碼而登錄他人的GMail郵箱
那麼有了ajax跨域限制,是不是就真的不能做ajax垮域訪問了?
ajax垮域確實不行,但是我們可以中轉實現,也就是所謂的代理原理很簡單,在自己的js跟遠端伺服器A的資源之間架設一個自己的容器可以用asp、php、java、.net等所有可以的動態web語言以asp為例(取得熱得快網站某個使用者的好友列表,回傳xml資料格式)
<%
p = " http://redekuai.com/api/user_friends_xml/funy "
Response.BinaryWrite ZQcnGet(p)
Response.Flush
Function ZQcnGet(url)
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "Get", url, False, "", ""
.Send
ZQcnGet = .ResponseBody
End With
Set Retrieval = Nothing
End Function
%>
這段程式碼保存為一個proxy.asp,然後放到IIS裡,這個時候就可以隨便找個機器寫js了,用ajax請求proxy.asp,最後相當於實現了ajax垮域訪問
php的範例程式碼更簡單
echo file_get_contents(" http://redekuai.com/api/user_friends_xml/funy "");
?>
註:php版本需要>= 4.3.0
再給個asp.net(C#)版本的範例程式碼:
using System.Net;
using System.IO;
using System.Text;
public partial class ajaxpages: System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
WebRequest wr = WebRequest.Create(" http://redekuai.com/api/user_friends_xml/funy ");
WebResponse wres = wr.GetResponse ();
Encoding resEncoding = System.Text.Encoding.GetEncoding("utf-8");
StreamReader sr = new StreamReader(wres.GetResponseStream(), resEncoding);
string html = sr.ReadToEnd();
Response.Write(html);
sr.Close();
wres.Close();
}
}
分別為proxy.asp proxy.php proxy.aspx
那麼做好代理,實現了自己一般機器(非web伺服器)上js垮域訪問遠端網站資源有什麼實際的意義呢?
要知道,現在的網路技術已經進入了絕對的Mashup時代老美有2k多家公司靠做facebook的APP存活著,國外的這種產業鏈真的不能在國內發展嗎?要知道5年後網路也會成為中國的基礎設施了已經有做的比較好的web2.0站點在開放API(又拍、熱得快)或者準備開放