ajax實現垮域訪問初探

這個應該歸到javascript的安全性問題一般伺服器A設定的是不允許別的域的機器B執行B上的ajax調用伺服器A上的資源原因，可以舉個簡單的安全隱患例子：

假設ajax可以垮域訪問，那麼我在自己機器上可以寫ajax請求Google各類web應用中的資源比如先用firefox研究GMail在登入過程中大量ajax請求的地址以及參數，可以得到使用者cookie的驗證過程然後寫js去跨域擷取別的使用者的cookie，這樣可以繞過使用者的GMail密碼而登入他人的GMail郵箱

那麼有了ajax跨域限制，是不是就真的不能做ajax垮域訪問了？

ajax垮域確實不行，但是我們可以中轉實現，也就是所謂的代理

原理很簡單，在自己的js跟遠程伺服器A的資源之間架設一個自己的容器

可以用asp、php、java、.net等所有可以的動態web語言

以asp為例（擷取熱得快網站某個使用者的好友名單，返回xml資料格式）

<%
p = "http://redekuai.com/api/user_friends_xml/funy"
Response.BinaryWrite ZQcnGet(p)
Response.Flush
Function ZQcnGet(url)
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "Get", url, False, "", ""
.Send
ZQcnGet = .ResponseBody
End With
Set Retrieval = Nothing
End Function
%>

這段代碼儲存為一個proxy.asp，然後放到IIS裡，這個時候就可以隨便找個機器寫js了，用ajax請求proxy.asp，最後相當於實現了ajax垮域訪問

php的範例程式碼更簡單

echo file_get_contents("http://redekuai.com/api/user_friends_xml/funy"");

?>

註：php版本需要>= 4.3.0