我觉得真正令人困惑的是,为什么 AJAX 请求仅限于同一个域?这背后的原因是什么?
我认为从外部位置请求文件没有任何问题,发出 XMLHTTP 请求的服务器似乎也可以很好地获取并发布到外部位置。
【问题讨论】:
标签: javascript ajax xss same-origin-policy
Tom,它不是“Ajax 请求限制”。 AJAX 基于 JavaScript。出于安全原因,禁止跨域访问 JavaScript。如果你真的想做跨域 Ajax,你可以做一个 hack。
YourPage(Ajax) ----> YourServer ----> ExternalDomain
您可以使用 Ajax 调用服务器中的页面,您的域将使用服务器端调用外部域,并获取结果然后作为 Ajax 响应返回给您。 当然,向 ExternalDomain 服务器发出的请求将被调用,而不会发送驻留在浏览器内存中的 ExternalDomain cookie。那是因为请求是由您的服务器而不是您的浏览器完成的。
【讨论】:
图片如下:
你来到我的神话般的网站 www.halfnakedgirls.com。看着看起来像是关于人体生理学的技术文档,你会很开心,但在你背后,一些 JavaScript 行正在执行对另一个域的一些请求,比如 www.yourpaypallike.com。
http://www.yourpaypallike.com/account/transfer?to=badguy@evilwebsite.com&amount=984654 或 http://www.mymailprovider.com/mails/export?format=csv 之类的请求。
你现在明白为什么它被禁止了吗? =)
【讨论】:
这是出于安全目的 - 如果网站可以在客户端对他们想要的任何域执行 AJAX 调用,则会带来严重的风险。
但是有一些方法可以解决这个问题 - 您可以让您的 AJAX 调用同一域上的 PHP 脚本,而后者又可以调用另一个域中的脚本并返回它。不过,这不会使用浏览器作为通信媒介,而是使用您的网络服务器。
【讨论】:
这里有一些信息可以满足您的问题: http://en.wikipedia.org/wiki/Same_origin_policy
【讨论】: