摘要:注意請(qǐng)求和響應(yīng)都不包含信息�。對(duì)象的安全機(jī)制部分實(shí)現(xiàn)了的規(guī)范�。請(qǐng)求返回后會(huì)觸發(fā)事件,響應(yīng)數(shù)據(jù)保存在屬性中�。無論是同源請(qǐng)求還是跨域請(qǐng)求,對(duì)于本地資源最好使用相對(duì)�����,在訪問遠(yuǎn)程資源時(shí)再使用絕對(duì)���。發(fā)送請(qǐng)求之后,服務(wù)器決定是否允許這種類型的請(qǐng)求����。
通過XHR實(shí)現(xiàn)Ajax通信的一個(gè)主要限制,來源于跨域安全策略����。在默認(rèn)情況下,Ajax只能訪問與包含它的頁面位于同一個(gè)域中的資源��。但是有時(shí)也需要一些跨域的請(qǐng)求�。為了解決這個(gè)問題,現(xiàn)在的瀏覽器采用CORS(Cross-Origin Resource Sharing,跨域資源共享)策略來實(shí)現(xiàn)�����。CORS是W3C的一個(gè)工作草案,定義了必須訪問跨源資源時(shí)瀏覽器與服務(wù)器之間如何進(jìn)行溝通��。這個(gè)策略的基本思想是使用自定義的HTTP頭部讓瀏覽器與服務(wù)器進(jìn)行溝通�����,從而決定請(qǐng)求或響應(yīng)的成功和失敗��。注意請(qǐng)求和響應(yīng)都不包含cookie信息�。
IE對(duì)CORS的實(shí)現(xiàn)
IE8中引入了XDR( XDomainRequest) 類型, 這個(gè)對(duì)象與XHR類似���, 但是能實(shí)現(xiàn)安全可靠的跨域通信��。 XDR對(duì)象的安全機(jī)制部分實(shí)現(xiàn)了W3C的CORS規(guī)范����。 以下是XDR與XHR的不同之處:
cookie不會(huì)隨請(qǐng)求發(fā)送�, 也不會(huì)隨響應(yīng)返回
只能設(shè)置請(qǐng)求頭部信息中的Content - Type字段
不能訪問響應(yīng)頭部信息
只支持GET和POST請(qǐng)求
XDR對(duì)象使用方法: 創(chuàng)建一個(gè)實(shí)例, 調(diào)用open方法�����, 調(diào)用send方法。 open方法只接受兩個(gè)參數(shù): 請(qǐng)求的類型和URL����。 所有XDR的請(qǐng)求都是異步的。 請(qǐng)求返回后會(huì)觸發(fā)load事件����, 響應(yīng)數(shù)據(jù)保存在responseText屬性中。
var xdr = new XDomainRequest();
xdr.onload = function() {
alert(xdr.responseText);
};
xdr.open("get", "http://www.somewhere-else.com/page/");
xdr.send(null);
在跨域請(qǐng)求上唯一可以獲得響應(yīng)的信息就是錯(cuò)誤本身���, 因此確定響應(yīng)失敗的方式就是使用onerror事件。 要放到open之前使用����。
xdr.onerror = function() {
alert("an error occurred!");
}
在請(qǐng)求返回之前, 可以調(diào)用取消命令abort() 方法:
xdr.abort(); //終止請(qǐng)求
與XHR一樣��, XDR對(duì)象也支持timeout屬性以及ontimeout事件處理程序�。
xdr.timeout = 1000;
xdr.ontimeout = function() {
alert("late!")
}
將這些處理程序添加到open之前才可以哦。
為了支持post請(qǐng)求����, XDR對(duì)象提供了contentType屬性, 用來表示發(fā)送數(shù)據(jù)的格式: 在open之后����, send之前設(shè)置
xdr.contentType = "application/x-www-form-urlencoded";
其他瀏覽器對(duì)CORS的實(shí)現(xiàn)
使用標(biāo)準(zhǔn)的XHR對(duì)象并在open()方法中傳入絕對(duì)URL即可:
var xhr = new XMLHttpRequest();
xhr.onload = function () {
if ((xhr.status >= 200 && xhr.status < 300) || xhr.status == 304) {
document.getElementById("content").innerHTML = xhr.responseText;
} else {
console.log("error");
}
};
xhr.open("get", "http://www.somewhere-else.com/page/", true);
xhr.send();
其他的瀏覽器都通過XMLHttpRequest對(duì)象實(shí)現(xiàn)了對(duì)CORS的原生支持���。但是在跨域請(qǐng)求的時(shí)候有以下的限制:
不能使用setRequestHeader()設(shè)置自定義頭部。
不能接受和發(fā)送cookie
調(diào)用getAllResponseHeaders()方法總會(huì)返回空字符串���。
無論是同源請(qǐng)求還是跨域請(qǐng)求����,對(duì)于本地資源最好使用相對(duì)URL�,在訪問遠(yuǎn)程資源時(shí)再使用絕對(duì)URL。
Preflighted?���。襡quests
透明服務(wù)器驗(yàn)證機(jī)制,支持開發(fā)人員使用自定義的頭部�,get和post之外的方法,以及不同類型的主題內(nèi)容�����。這種請(qǐng)求使用OPTIONS方法����,發(fā)送下列頭部:
Origin:與簡單的請(qǐng)求相同
Access-Control-Request-Method:請(qǐng)求自身使用的方法
Access-Control-Request-Headers:(可選)自定義頭部信息��,多喝頭部逗號(hào)分隔�����。
發(fā)送請(qǐng)求之后�,服務(wù)器決定是否允許這種類型的請(qǐng)求����。服務(wù)器通過響應(yīng)發(fā)送如下的頭部與瀏覽器進(jìn)行溝通:
Access-Control-Allow-Origin:與簡單的請(qǐng)求相同
Access-Control-Allow-Methods:允許的方法,多個(gè)方法以逗號(hào)分隔
Access-Control-Allow-Headers:允許的頭部�����,多個(gè)頭部以逗號(hào)分隔
Access-Control-Max-Age:應(yīng)該將這個(gè)Preflight請(qǐng)求緩存多長時(shí)間(以秒表示)
帶憑據(jù)的請(qǐng)求
通過將withCredentials屬性設(shè)置為true���,可以指定特定的請(qǐng)求應(yīng)該發(fā)送憑據(jù)。如果服務(wù)器接收帶憑據(jù)的請(qǐng)求��,會(huì)用下面的HTTP頭部響應(yīng)
Access-Control-Allow-Credentials:true
跨瀏覽器的CORS
function createCORSRequest(method, url) {
var xhr = new XMLHttpRequest();
if ("withCredentials" in xhr) {
xhr.open(method, url, true);
} else if (typeof XDomainRequest != "undefined") {
xhr = new XDomainRequest();
xhr.open(method, url);
} else {
xhr = null;
}
return xhr;
}
var request = createCORSRequest("get", "http://somewhere-else.com/page/");
if (request) {
request.onload = function() {
//request.responseText
};
request.send();
}
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/78761.html
