Heim  >  Artikel  >  Backend-Entwicklung  >  Fassen Sie drei Methoden zur domänenübergreifenden Implementierung von Ajax in PHP zusammen

Fassen Sie drei Methoden zur domänenübergreifenden Implementierung von Ajax in PHP zusammen

PHPz
PHPzOriginal
2023-04-04 09:12:41921Durchsuche

Mit der Popularität der Front-End- und Back-End-Trennung ist es in der Webentwicklung zu einem gängigen Vorgang geworden, dass das Front-End die Back-End-Schnittstelle aufruft und Daten über die Ajax-Technologie abruft.

Aufgrund der gleichen Ursprungsrichtlinie des Browsers können Webseiten aus unterschiedlichen Quellen (verschiedene Protokolle, Domänennamen oder Ports) jedoch nicht auf das DOM und die Cookies des anderen zugreifen, was den domänenübergreifenden Zugriff zu einer sehr häufigen Anforderung macht. Es gibt viele Möglichkeiten, dieses Problem zu lösen.

In diesem Artikel werden drei Möglichkeiten zur domänenübergreifenden Implementierung von Ajax in PHP vorgestellt.

1. JSONP

JSONP (JSON mit Padding) ist eine sehr beliebte Lösung, wenn das Frontend domänenübergreifende Anfragen initiiert. Es handelt sich tatsächlich um eine Möglichkeit, den Browser zu „betrügen“, indem man sich die Tatsache zunutze macht, dass das <script>-Tag keine domänenübergreifenden Einschränkungen hat, um domänenübergreifenden Zugriff zu erreichen. Sein Prinzip besteht darin, dynamisch ein JavaScript-Code-Snippet zu generieren, um auf die Anfrage auf der Serverseite zu antworten. Das Code-Snippet ruft eine JavaScript-Funktion mit einem bestimmten Namen (Callback-Funktionsname) auf und übergibt die von der Serverseite verarbeiteten Daten als Parameter Diese Funktion erzielt den Effekt eines domänenübergreifenden Zugriffs. <script> 标签没有跨域限制的特点来实现跨域访问。它的原理就是通过在服务端动态生成用于响应请求的 JavaScript 代码片段,该代码片段会调用一个特定名称(回调函数名)的 JavaScript 函数,并将服务端处理的数据作为参数传递给此函数,从而达到跨域访问的效果。

JSONP 的使用方式如下:

  1. 客户端代码:
function handleJsonp(data) {
  console.log(data);
}
const script = document.createElement('script');
script.src = 'http://example.com/api?callback=handleJsonp';
document.head.appendChild(script);
  1. 服务端代码:
<?php
$data = array(&#39;foo&#39; => 'bar');
$callback = $_GET['callback'];
echo sprintf('%s(%s);', $callback, json_encode($data));
?>

在这段代码中,服务端的返回结果是一个包含回调函数调用的 JavaScript 代码片段,客户端得到数据后会自动执行回调函数,并将服务端返回的数据作为回调函数的参数。

JSONP 的优点是兼容性好,兼容性只受到浏览器支持 <script> 标签的程度限制,但缺点是存在安全性问题,因为回调函数是在客户端执行的,我们无法保证此函数所执行的是我们期望的逻辑,如果恶意回调函数传递了恶意代码,就会存在被 XSS 攻击的风险。

二、代理模式

代理模式是另一种比较流行的跨域解决方案。它的基本思路是在服务端设置一个代理访问指定网址,然后将从代理服务器获取到的数据返回给客户端。通过这种方式,客户端可以直接访问同源的代理服务器,代理服务器再去访问跨域的目标服务器,并将目标服务器返回的数据进行中转。

代理模式的使用方式如下:

  1. 客户端代码:
fetch('http://example.com/proxy_api')
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(error => console.error(error));
  1. 服务端代码:
<?php
$url = &#39;http://example.com/api&#39;;
$data = json_decode(file_get_contents($url), true);
echo json_encode($data);
?>

在这段代码中,客户端的请求被发往代理服务器,代理服务器在得到目标服务器返回的数据后将之返回给客户端,这样就实现了客户端对跨域服务的访问。

代理模式的优点是安全性好,因为在客户端只会访问同源的代理服务器,代理服务器再去访问跨域的目标服务器,从而有效避免了跨域访问带来的安全风险,但缺点是需要额外开发服务器端代码,增加了额外的工作量和开发成本。

三、CORS

CORS 是目前最流行的跨域访问解决方案。它通过在服务端设置响应头来告诉客户端是否允许跨域访问,从而实现跨域访问安全控制。

CORS 的使用方式如下:

  1. 客户端代码:
fetch('http://example.com/api', {
  mode: 'cors'
})
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(error => console.error(error));
  1. 服务端代码:
<?php
header(&#39;Access-Control-Allow-Origin: *&#39;);
$data = array(&#39;foo&#39; => 'bar');
echo json_encode($data);
?>

在这段代码中,服务端设置了 Access-Control-Allow-Origin:* 响应头,表示允许所有来源访问该接口,客户端通过在请求中设置 mode: 'cors'

JSONP wird wie folgt verwendet:

  1. Client-Code:
rrreee
  1. Server-Code:
rrreee In diesem Code ist das vom Server zurückgegebene Ergebnis ein JavaScript-Codefragment, das einen Rückruffunktionsaufruf enthält. Nachdem der Client die Daten erhalten hat, führt er automatisch die Rückruffunktion aus und verwendet die vom Server zurückgegebenen Daten als Parameter Rückruffunktion.

Der Vorteil von JSONP ist die gute Kompatibilität. Die Kompatibilität wird nur durch den Umfang eingeschränkt, in dem der Browser das Tag <script> unterstützt. Der Nachteil besteht jedoch darin, dass es aufgrund des Rückrufs Sicherheitsprobleme gibt Wenn die Funktion auf dem Client ausgeführt wird, können wir nicht garantieren, dass diese Funktion die von uns erwartete Logik ausführt. Wenn die böswillige Rückruffunktion bösartigen Code übergibt, besteht das Risiko, von XSS angegriffen zu werden. 🎜🎜2. Proxy-Modus 🎜🎜Der Proxy-Modus ist eine weitere beliebte domänenübergreifende Lösung. Seine Grundidee besteht darin, einen Proxy auf dem Server einzurichten, um auf die angegebene URL zuzugreifen, und dann die vom Proxyserver erhaltenen Daten an den Client zurückzugeben. Auf diese Weise kann der Client von derselben Quelle aus direkt auf den Proxyserver zugreifen, und der Proxyserver greift dann auf den domänenübergreifenden Zielserver zu und leitet die vom Zielserver zurückgegebenen Daten weiter. 🎜🎜Der Proxy-Modus wird wie folgt verwendet: 🎜
  1. Client-Code:
rrreee
  1. Server-Code:
  2. ol >rrreee🎜In diesem Code wird die Anfrage des Clients an den Proxyserver gesendet. Der Proxyserver gibt die vom Zielserver zurückgegebenen Daten an den Client zurück und realisiert so den Zugriff des Clients auf domänenübergreifende Dienste. 🎜🎜Der Vorteil des Proxy-Modus ist eine gute Sicherheit, da der Client nur auf den Proxyserver desselben Ursprungs zugreift und der Proxyserver dann auf den domänenübergreifenden Zielserver zugreift, wodurch die durch domänenübergreifendes Handeln verursachten Sicherheitsrisiken effektiv vermieden werden Zugriff, hat jedoch die Nachteile: Es erfordert eine zusätzliche Entwicklung von serverseitigem Code, was den zusätzlichen Arbeitsaufwand und die Entwicklungskosten erhöht. 🎜🎜3. CORS🎜🎜CORS ist derzeit die beliebteste domänenübergreifende Zugriffslösung. Es legt den Antwortheader auf dem Server fest, um dem Client mitzuteilen, ob er den domänenübergreifenden Zugriff zulassen soll, wodurch eine domänenübergreifende Zugriffssicherheitskontrolle erreicht wird. 🎜🎜CORS wird wie folgt verwendet: 🎜
    1. Client-Code:
    rrreee
    1. Server-Code:
    rrreee 🎜In diesem Code legt der Server den Antwortheader Access-Control-Allow-Origin:* fest, der angibt, dass alle Quellen auf die Schnittstelle zugreifen dürfen. Der Client legt im Anforderungsmodus fest: 'cors'-Parameter, um den Browser darüber zu informieren, dass auf die Anfrage domänenübergreifend zugegriffen wird. 🎜🎜Der Vorteil von CORS besteht darin, dass es nativ unterstützt und keine zusätzliche Entwicklungsarbeit erfordert. Der Nachteil besteht jedoch darin, dass es IE8/9 nicht unterstützt und serverseitig unterstützt werden muss. Es unterstützt keinen domänenübergreifenden Zugriff von Subdomainnamen. 🎜🎜Die oben genannten sind die drei domänenübergreifenden Methoden zur Implementierung von Ajax in PHP. In tatsächlichen Projekten sollten Sie je nach Situation die am besten geeignete domänenübergreifende Lösung auswählen. 🎜

Das obige ist der detaillierte Inhalt vonFassen Sie drei Methoden zur domänenübergreifenden Implementierung von Ajax in PHP zusammen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn