(五)JavaScript关于浏览器--ajax
五、ajax
Asynchronous JavaScript and XML:就是用JavaScript执行异步网络请求。
如一个form表单的提交,一旦“submit”后,表单提交(点击按钮一般是先触发onsubmit,在提交到action),就会跳转到action页面;这是因为在web中一次HTTP请求对应一个页面。
而如果用JavaScript发送这个请求,接收到数据后,再用JavaScript更新页面,用户就感觉自己仍然停留在原来的页面,但是数据却可以不断地更新。
AJAX主要依靠XMLHttpRequest对象:点击打开链接
默认情况下,JavaScript在发送AJAX请求时,URL的域名必须和当前页面完全一致。完全一致的意思是,域名要相同(
www.example.com和
example.com不同),协议要相同(
http和
https不同),端口号要相同(默认是
:80端口,它和
:8080就不同)。
跨域原因由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容).
JavaScript请求跨域的两种方式,方法:
1.JSONP (JSON with Padding),它允许在服务器端集成Scripttags返回至客户端,通过javascript callback的形式实现跨域访问(这仅仅是JSONP简单的实现形式)。但是,它有个限制,只能用GET请求,并且要求返回JavaScript。这种方式跨域实际上是利用了浏览器允许跨域引用JavaScript资源:
<scriptsrc="http://example.com/abc.js"></script>
通过script标签实现跨域请求,然后在服务端输出JSON数据并执行回调函数,从而解决了跨域的数据请求。(找了一段代码)
跨域访问:http://www.runoob.com/try/ajax/jsonp.php?jsoncallback=callbackFunction
<?php
header('Content-type: application/json');
//获取回调函数名 注册回调函数
$jsoncallback = htmlspecialchars($_REQUEST ['jsoncallback']);
//json数据
$json_data = '["customername1","customername2"]';
//输出jsonp格式的数据
echo $jsoncallback . "(" . $json_data . ")";
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>JSONP 实例</title>
</head>
<body>
<div id="divCustomers"></div>
<script type="text/javascript">
function callbackFunction(result, methodName)
{
var html = '<ul>';
for(var i = 0; i < result.length; i++)
{
html += '<li>' + result[i] + '</li>';
}
html += '</ul>';
document.getElementById('divCustomers').innerHTML = html;
}
</script>
<script type="text/javascript" src="http://www.runoob.com/try/ajax/jsonp.php?jsoncallback=callbackFunction"></script>
</body>
</html>
2.CORS 允许一个域上的网络应用向另一个域提交跨域AJAX 请求。实现此功能非常简单,只需由服务器发送一个响应标头即可。
http://www.test1.com打算从http://www.test2.com 请求数据。如果我们直接使用 AJAX 来请求将会失败;利用 CORS,http://www.test2.com 只需添加一个标头,就可以允许来自 http://www.test1.com 的请求:(*为允许任何域请求,可以改为http://www.test1.com)
// 所以如果在服务端代码中设置:这样的话任何域名都可以请求你的服务器了
header(“Access-Control-Allow-Origin:*”);
或者在要请求的域的服务器web.xml中配置,该过滤器可以通过添加必需的访问控制请求头Access-Control-*对象来进行跨域。同时还可以对一些请求进行拦截。如果请求是无效的,或者是不被允许的,该请求被拒绝或者禁止。
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>
http://localhost:8080,
https://localhost:8443
</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>
GET,POST,HEAD,OPTIONS,PUT
</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>
Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Access-Control-Allow-Origin
</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>
Access-Control-Allow-Origin,Access-Control-Allow-Credentials
</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/wxrefund/*</url-pattern>
</filter-mapping>
浏览器拒绝HTTP请求的跨域,CORS的背后基本思想就是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定请求响应是应该成功还是应该失败。
浏览器直接发出CORS请求(在头信息中增加一个Origin字段,说明:本次请求来自哪个源)
GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8
Access-Control-Allow-Origin
Access-Control-Allow-Origin,该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
Access-Control-Allow-Credentials,该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。
Access-Control-Expose-Headers,该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。示例:
客服端(就是JavaScript中)
function getHello() {
var xhr = new XMLHttpRequest();
xhr.open("post", "http://b.example.com/Test.ashx", true);
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
// 声明请求源
xhr.setRequestHeader("Origin", "http://a.example.com");
xhr.onreadystatechange = function () {
if (xhr.readyState == 4 && xhr.status == 200) {
var responseText = xhr.responseText;
console.info(responseText);
}
}
xhr.send();
}
服务器端:
public class Test : IHttpHandler{
public void ProcessRequest(HttpContext context){
context.Response.ContentType = "text/plain";
// 声明接受所有域的请求
context.Response.AddHeader("Access-Control-Allow-Origin", "*");
context.Response.Write("Hello World");
}
public bool IsReusable{
get
{
return false;
}
}
}
有点思路整理下;
我在浏览器(JavaScript)上向一个服务器发送请求,浏览器会拒绝这个请求,怎么解决呢?
首先,JavaScript发送请求时添加头xhr.setRequestHeader("Origin","http://a.example.com");这样浏览器就不会拒绝它;
而服务器回的报头Access-Control-Allow-Origin:*就能与JavaScript相通。