“對於JavaScript領域而言,最重要的安全限制是同源策略(same origin policy),它用來決定伺服器能夠相互連信的頁面。
通常源(orgin)是指諸如www.csdn.net的單個域,它可以通過單個協議訪問,通常是HTTP。同源策略規定只有同源的頁面才能訪問、下載、以及與來自該源的資源進行互動(使用Javascirpt)。對於隱藏幀技術而言,這要求所有的幀都是從相同的源裝載的,因此可以使用JavaScript來通訊。如果您嘗試在幀中裝載來自於其他源的頁面,就不能與這個頁面進行互動或者訪問其中任何指令碼。同源策略的意圖是防止惡意程式員在合法的網頁之外擷取你的訊息。
同源策略對於XMLHttp的工作也是有影響的。使用XMLHttp就不能訪問與運行該代碼的頁面不同的資源。這就意味著,預設情況下是不能夠在open()方法中使用以http://開頭的URL,只能夠使用同一網域名稱中的絕對URL或者相對URL。如果你需要訪問一個位於不同源中URL,就必須建立一個伺服器端代理來處理這個通訊。”
iE並未提供一個顯示的同源策略,而是依賴於其自己的安全區域來決定能夠訪問什麼,屬於internet安全區域的那些頁面通常遵循的規則與同源策略相似,而屬於受信任網站地區的頁面則會免受該策略的限制。
以上是Ajax進階程式設計中的描述。那麼我們如何來理解這段話呢?
【實際項目】假設兩台機器:機器1和機器2,1機器上部署了應用A,2機器上部署了應用B,A中的頁面需要調用B中的頁面,項目中發現A中的Javascript代碼不能訪問B的頁面中的內容,這是因為Javascript的跨域限制,但是可以通過XMLhttp發送請求給B,會收到B返回的響應訊息。這個不受跨域限制的影響(因為B的Web伺服器充當了代理的角色)。
歡迎大家留言討論Ajax跨域問題~
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
