摘要:注意請求和響應(yīng)都不包含信息����。對象的安全機制部分實現(xiàn)了的規(guī)范。請求返回后會觸發(fā)事件�����,響應(yīng)數(shù)據(jù)保存在屬性中���。無論是同源請求還是跨域請求�,對于本地資源最好使用相對,在訪問遠程資源時再使用絕對����。發(fā)送請求之后,服務(wù)器決定是否允許這種類型的請求����。
通過XHR實現(xiàn)Ajax通信的一個主要限制,來源于跨域安全策略����。在默認情況下,Ajax只能訪問與包含它的頁面位于同一個域中的資源�。但是有時也需要一些跨域的請求。為了解決這個問題����,現(xiàn)在的瀏覽器采用CORS(Cross-Origin Resource Sharing,跨域資源共享)策略來實現(xiàn)。CORS是W3C的一個工作草案��,定義了必須訪問跨源資源時瀏覽器與服務(wù)器之間如何進行溝通��。這個策略的基本思想是使用自定義的HTTP頭部讓瀏覽器與服務(wù)器進行溝通�����,從而決定請求或響應(yīng)的成功和失敗。注意請求和響應(yīng)都不包含cookie信息����。
IE對CORS的實現(xiàn)
IE8中引入了XDR( XDomainRequest) 類型, 這個對象與XHR類似�, 但是能實現(xiàn)安全可靠的跨域通信�����。 XDR對象的安全機制部分實現(xiàn)了W3C的CORS規(guī)范����。 以下是XDR與XHR的不同之處:
cookie不會隨請求發(fā)送, 也不會隨響應(yīng)返回
只能設(shè)置請求頭部信息中的Content - Type字段
不能訪問響應(yīng)頭部信息
只支持GET和POST請求
XDR對象使用方法: 創(chuàng)建一個實例�����, 調(diào)用open方法���, 調(diào)用send方法����。 open方法只接受兩個參數(shù): 請求的類型和URL�。 所有XDR的請求都是異步的����。 請求返回后會觸發(fā)load事件�����, 響應(yīng)數(shù)據(jù)保存在responseText屬性中��。
var xdr = new XDomainRequest();
xdr.onload = function() {
alert(xdr.responseText);
};
xdr.open("get", "http://www.somewhere-else.com/page/");
xdr.send(null);
在跨域請求上唯一可以獲得響應(yīng)的信息就是錯誤本身�����, 因此確定響應(yīng)失敗的方式就是使用onerror事件����。 要放到open之前使用。
xdr.onerror = function() {
alert("an error occurred!");
}
在請求返回之前��, 可以調(diào)用取消命令abort() 方法:
xdr.abort(); //終止請求
與XHR一樣�����, XDR對象也支持timeout屬性以及ontimeout事件處理程序�����。
xdr.timeout = 1000;
xdr.ontimeout = function() {
alert("late!")
}
將這些處理程序添加到open之前才可以哦。
為了支持post請求�����, XDR對象提供了contentType屬性����, 用來表示發(fā)送數(shù)據(jù)的格式: 在open之后, send之前設(shè)置
xdr.contentType = "application/x-www-form-urlencoded";
其他瀏覽器對CORS的實現(xiàn)
使用標準的XHR對象并在open()方法中傳入絕對URL即可:
var xhr = new XMLHttpRequest();
xhr.onload = function () {
if ((xhr.status >= 200 && xhr.status < 300) || xhr.status == 304) {
document.getElementById("content").innerHTML = xhr.responseText;
} else {
console.log("error");
}
};
xhr.open("get", "http://www.somewhere-else.com/page/", true);
xhr.send();
其他的瀏覽器都通過XMLHttpRequest對象實現(xiàn)了對CORS的原生支持��。但是在跨域請求的時候有以下的限制:
不能使用setRequestHeader()設(shè)置自定義頭部�。
不能接受和發(fā)送cookie
調(diào)用getAllResponseHeaders()方法總會返回空字符串����。
無論是同源請求還是跨域請求,對于本地資源最好使用相對URL�,在訪問遠程資源時再使用絕對URL。
Preflighted?。襡quests
透明服務(wù)器驗證機制,支持開發(fā)人員使用自定義的頭部����,get和post之外的方法,以及不同類型的主題內(nèi)容��。這種請求使用OPTIONS方法,發(fā)送下列頭部:
Origin:與簡單的請求相同
Access-Control-Request-Method:請求自身使用的方法
Access-Control-Request-Headers:(可選)自定義頭部信息��,多喝頭部逗號分隔����。
發(fā)送請求之后,服務(wù)器決定是否允許這種類型的請求��。服務(wù)器通過響應(yīng)發(fā)送如下的頭部與瀏覽器進行溝通:
Access-Control-Allow-Origin:與簡單的請求相同
Access-Control-Allow-Methods:允許的方法����,多個方法以逗號分隔
Access-Control-Allow-Headers:允許的頭部,多個頭部以逗號分隔
Access-Control-Max-Age:應(yīng)該將這個Preflight請求緩存多長時間(以秒表示)
帶憑據(jù)的請求
通過將withCredentials屬性設(shè)置為true�,可以指定特定的請求應(yīng)該發(fā)送憑據(jù)。如果服務(wù)器接收帶憑據(jù)的請求����,會用下面的HTTP頭部響應(yīng)
Access-Control-Allow-Credentials:true
跨瀏覽器的CORS
function createCORSRequest(method, url) {
var xhr = new XMLHttpRequest();
if ("withCredentials" in xhr) {
xhr.open(method, url, true);
} else if (typeof XDomainRequest != "undefined") {
xhr = new XDomainRequest();
xhr.open(method, url);
} else {
xhr = null;
}
return xhr;
}
var request = createCORSRequest("get", "http://somewhere-else.com/page/");
if (request) {
request.onload = function() {
//request.responseText
};
request.send();
}
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/78761.html
