這個應該歸到javascript的安全性問題一般伺服器A設定的是不允許別的域的機器B執行B上的ajax調用伺服器A上的資源原因,可以舉個簡單的安全隱患例子:
假設ajax可以垮域訪問,那麼我在自己機器上可以寫ajax請求Google各類web應用中的資源比如先用firefox研究GMail在登入過程中大量ajax請求的地址以及參數,可以得到使用者cookie的驗證過程然後寫js去跨域擷取別的使用者的cookie,這樣可以繞過使用者的GMail密碼而登入他人的GMail郵箱
那麼有了ajax跨域限制,是不是就真的不能做ajax垮域訪問了?
ajax垮域確實不行,但是我們可以中轉實現,也就是所謂的代理
原理很簡單,在自己的js跟遠程伺服器A的資源之間架設一個自己的容器
可以用asp、php、java、.net等所有可以的動態web語言
以asp為例(擷取熱得快網站某個使用者的好友名單,返回xml資料格式)
<%
p = "http://redekuai.com/api/user_friends_xml/funy"
Response.BinaryWrite ZQcnGet(p)
Response.Flush
Function ZQcnGet(url)
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "Get", url, False, "", ""
.Send
ZQcnGet = .ResponseBody
End With
Set Retrieval = Nothing
End Function
%>
這段代碼儲存為一個proxy.asp,然後放到IIS裡,這個時候就可以隨便找個機器寫js了,用ajax請求proxy.asp,最後相當於實現了ajax垮域訪問
php的範例程式碼更簡單
echo file_get_contents("http://redekuai.com/api/user_friends_xml/funy"");
?>
註:php版本需要>= 4.3.0