這個應該歸到Javascript的安全性問題一般服務器A設置的是不允許別的域的機器B執行B上的AJax調用服務器A上的資源原因,可以舉個簡單的安全隱患例子:
假設ajax可以垮域訪問,那麼我在自己機器上可以寫ajax請求Google各類web應用中的資源比如先用Firefox研究GMail在登錄過程中大量AJax請求的地址以及參數,可以得到用戶cookIE的驗證過程然後寫JS去跨域獲取別的用戶的cookIE,這樣可以繞過用戶的GMail密碼而登入他人的GMail郵箱
那麼有了ajax跨域限制,是不是就真的不能做AJax垮域訪問了?
AJax垮域確實不行,但是我們可以中轉實現,也就是所謂的代理
原理很簡單,在自己的JS跟遠程服務器A的資源之間架設一個自己的容器
可以用ASP、PHP、Java、.Net等所有可以的動態web語言
以ASP為例(獲取熱得快網站某個用戶的好友列表,返回XML數據格式)
<%
p = "http://redekuai.com/api/user_frIEnds_XML/funy"
Response.BinaryWrite ZQcnGet(p)
Response.Flush
Function ZQcnGet(url)
Set RetrIEval = CreateObject("Microsoft.XMLHTTP")
With RetrIEval
.Open "Get", url, False, "", ""
.Send
ZQcnGet = .ResponseBody
End With
Set RetrIEval = Nothing
End Function
%>
這段代碼保存為一個proxy.asp,然後放到IIS裡,這個時候就可以隨便找個機器寫JS了,用AJax請求proxy.ASP,最後相當於實現了AJax垮域訪問
PHP的示例代碼更簡單
echo file_get_contents("http://redekuai.com/api/user_frIEnds_XML/funy"");
?>
注:PHP版本需要>= 4.3.0
再給個ASP.Net(C#)版本的示例代碼:
using System.Net;
using System.IO;
using System.Text;
public partial class AJaxpages: System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
WebRequest wr = WebRequest.Create("http://redekuai.com/api/user_frIEnds_XML/funy");
WebResponse wres = wr.GetResponse ();
Encoding resEncoding = System.Text.Encoding.GetEncoding("utf-8");
StreamReader sr = new StreamReader(wres.GetResponseStream(), resEncoding);
string Html = sr.ReadToEnd();
Response.Write(Html);
sr.Close();
wres.Close();
}
}
分別為proxy.asp proxy.PHP proxy.ASPx
那麼做好代理,實現了自己一般機器(非web服務器)上JS垮域訪問遠程網站資源有什麼實際的意義呢?
要知道,現在的互聯網技術已經進入了絕對的Mashup時代
老美有2k多個公司靠做facebook的APP存活著,國外的這種產業鏈真的不能在國內發展嗎?要知道5年後互聯網也會成為中國的基礎設施了