ajax跨域的基本流程

1. AJAX

AJAX（Asynchronous JavaScript and XML），意思是用JavaScript執行非同步網路請求。
主要可以透過架設代理伺服器，JSONP和CORS三種方案實作跨域
用JavaScript寫一個完整的AJAX程式碼並不復雜，但是需要注意：AJAX請求是異步執行的，也就是說，要透過回調函數獲得響應。

相關推薦：《python影片》

建立ajax的過程一般如下：

建立XMLHttpRequest對象，也就是建立一個非同步呼叫對象；判斷XHR對象屬性；建立一個新的HTTP請求，並指定該HTTP請求的方法、URL及驗證訊息；設定回應HTTP請求狀態變化的函數；發送HTTP請求；取得非同步呼叫傳回的資料；使用JavaScript和DOM實作局部刷新。

程式碼。

var xmlhttp;function createXMLHttpRequest () {
    xmlhttp = null;    if (window.XMLHttpRequest) {
        xmlhttp = new XMLHttpRequest();
    } else if (window.ActiveXObject) {
        xmlhttp = new ActiveXObject('Microsoft.XMLHTTP');
    }    // 异步调用服务器段数据
    if (xmlhttp != null) {        // 创建http请求
        xmlhttp.open('GET/POST', url, true);        // 设置http请求状态变化的函数
        xmlhttp.onreadystatechange = httpStateChange;        // 发送请求
        xmlhttp.send(null);
    } else {        console.log('不支持XHR');
    }
} 
// 响应HTTP请求状态变化的函数function httpStateChange () { //判断异步调用是否完成
    if (xmlhttp.readyState == 4) {//readyState==4表示后台处理完成了
        if (xmlhttp.status >= 200 && xmlhttp.status < 300 || xmlhttp.status == 304){        //判断异步调用是否成功,如果成功开始局部更新数据
            //code...
        } else{            console.log("出错状态码：" + xmlhttp.status + "出错信息：" + xmlhttp.statusText);
        }
    }
}

對於低版本的IE，需要換一個ActiveXObject物件,如果你想把標準寫法和IE寫法混在一起，可以這麼寫。

var request;if (window.XMLHttpRequest) {
   request = new XMLHttpRequest();
} else {
  request = new ActiveXObject('Microsoft.XMLHTTP');
}

透過偵測window物件是否有XMLHttpRequest屬性來決定瀏覽器是否支援標準的XMLHttpRequest。請注意，不要根據瀏覽器的navigator.userAgent來偵測瀏覽器是否支援某個JavaScript特性，一是因為這個字串本身可以偽造，二是透過IE版本判斷JavaScript特性將非常複雜。

當建立了XMLHttpRequest物件後，要先設定onreadystatechange
的回呼函數。在回呼函數中，通常我們只需透過readyState === 4判斷請求是否完成，如果已完成，再根據status判斷是否為成功的回應。

XMLHttpRequest物件的open()方法有3個參數，第一個參數指定是GET還是POST，第二個參數指定URL位址，第三個參數指定是否使用異步，預設是true，所以不用寫。注意，千萬不要把第三個參數指定為false，否則瀏覽器將停止回應，直到AJAX請求完成。如果這個請求耗時10秒，那麼10秒內你會發現瀏覽器處於「假死」狀態。

最後呼叫send()方法才真正傳送請求。 GET請求不需要參數，POST請求需要把body部分以字串或FormData物件傳進去。

2. 跨網域安全限制

因為瀏覽器的“同源策略”，協定、網域名稱、連接埠號碼若有一個不同，則不能存取。 AJAX本身是不能跨域的，AJAX直接請求普通檔案存在跨域無權限存取的問題，只要是跨域請求，一律不准；但是配合後台可以跨域。

因為同源策略限制的是瀏覽器但是對伺服器不限制，伺服器可以跨網域。
那是不是用JavaScript無法請求外域（就是其他網站）的URL了呢？方法還是有的，大概有以下幾種。

2.1 CORS

CORS（Cross-Origin Resource Sharing，跨來源資源共享）是W3C的草案，定義了在必須存取跨域資源時，瀏覽器與伺服器應該如何溝通。

CORS背後的基本想法是使用自訂的HTTP頭部讓瀏覽器與伺服器進行溝通，從而決定請求或回應是應該成功，還是應該失敗。

例如一個簡單的使用GET或POST發送的請求，它沒有自訂頭部，而主體內容是text/plain。在發送該請求時，需要給它附加一個額外的Origin頭部，其中包含請求頁面的來源資訊（協定、網域和連接埠），以便伺服器根據這個頭部資訊來決定是否給予回應。下面是Origin頭部的範例。

Origin: http://www.nczonline.net

如果伺服器認為這個請求可以接受，就在Access-Control-Allow-Origin頭部中回發相同的來源資訊（如果是公共資源，可以回發'*'）。例如：

Access-Control-Allow-Origin: http://www.nczonline.net

如果沒有這個頭部，或有這個頭部但來源資訊不匹配，瀏覽器就會駁回請求。正常情況下，瀏覽器會處理請求。注意，請求進而回應都不包含cookie訊息。

目前，所有瀏覽器都支援該功能，IE瀏覽器不能低於IE10。整個CORS通訊過程，都是瀏覽器自動完成，不需要使用者參與。對開發者來說，CORS通訊與同源的AJAX通訊沒有差別，程式碼完全一樣。瀏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感覺。

因此，實現CORS通訊的關鍵是伺服器。只要伺服器實作了CORS接口，就可以跨源通訊。

平常的ajax請求可能是這樣的:

<script type="text/javascript">
    var xhr = new XMLHttpRequest();
    xhr.open("POST", "/damonare",true);
    xhr.send();</script>

以上damonare部分是相對路徑，如果我們要使用CORS，相關Ajax程式碼可能如下所示：

<script type="text/javascript">
    var xhr = new XMLHttpRequest();
    xhr.open("GET", "http://segmentfault.com/u/trigkit4/",true);
    xhr.send();</script>

程式碼與之前的差異就在於相對路徑換成了其他域的絕對路徑，也就是你要跨域存取的介面位址。

服务器端对于CORS的支持，主要就是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置，就可以允许Ajax进行跨域的访问。

2.2 图像Ping

我们知道，一个网页可以从任何网页中加载图像，不用担心跨域不跨域。这也是在线广告跟踪浏览量的主要方式。我们也可以动态的创建图像，使用它们的onload和onerror事件处理成西来确定是否接收到了响应。

动态创建图像经常用于图像Ping。
图像Ping是与服务器进行简单、单向的跨域通信的一种方式。请求的数据是通过查询字符串形式发送的，而响应可以是任意内容，但通常是像素图或204响应。通过图像Ping，浏览器得不到任何具体的数据，但通过侦听load和error事件，它能知道响应是什么时候收到的。

来看下面的例子。

var img = new Image();
img.onload = img.onerror = function () {    console.log('Done');
};
img.src = 'http://www.example.com/test?name=Nico';

这里创建了一个Image的实例，然后将onload和onerror事件处理程序指定为同一个函数。这样无论是什么响应，只要请求完成，就能得到通知。请求从设置src属性那一刻开始，而这个例子在请求中发送了一个name参数。

图像Ping最常用于跟踪用户点击页面或动态广告曝光次数。
图像Ping有两个主要的缺点：

只能发送GET请求。无法访问服务器的响应文本。

因此，图像Ping只能用于浏览器与服务器间的单向通信。

2.3 JSONP

JSONP是JSON with padding（填充式JSON或参数式JSON）的简写，是应用JSON的一种新方法。JSONP与JSON看起来差不多，只不过是被包含在函数调用中的JSON，如下。

callback({'name': 'Azure'});

JSONP由两部分组成：回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数。回调函数的名字一般是在请求中指定的，而数据就是传入回调参数中JSON数据。下面是一个典型的JSONP请求。

http://freegeoip.net/json/?callback=handleResponse

这个URL是在请求一个JSONP地理定位服务。通过查询字符串来指定JSONP服务的回调参数是很常见的，就像上面的URL所示，这里指定的回调函数的名字叫handleResponse()。

JSONP是通过动态3f1c4e4b6b16bbbd69b2ee476dc4f83a元素来使用的，使用时可以为src属性指定一个跨域URL。
这里的fa606c102b26eb7f8e8a6d6e20193568元素与a1f02c36ba31691bcfe87b2722de723b元素类似，都有能力不受限制的从其他域加载资源。因为JSONP是有效的JS代码，所以在请求完成后，即在JSONP响应加载到页面中以后，就会立即执行。来看一个例子。

function handleResponse (response) {    
console.log('u r at IP address ' + response.ip + ', which is in ' + response.city + ', ' + response.region_name);
} 
var script = document.createElement('script');
script.src = 'http://freegeoip.net/json/?callback=handleResponse';
document.body.insertBefore(script, document.body.firstChild);

这个例子通过查询地理定位服务来显示IP地址和地理位置信息。

JSONP之所以在开发人员中极为流行，主要原因是它非常简单易用。与图像Ping相比，它的优点在于能够直接访问响应文本，支持在浏览器与服务器之间双向通信。不过，JSONP也有两点不足。

首先，安全性问题。JSONP是从其他域中加载代码执行。如果其他域不安全，很可能会在响应中夹带一些恶意代码，而此时除了完全放弃JSONP调用之外，没有办法追究。因此在使用不是自己运维的Web服务时，一定得保证它安全可靠。
其次，要确定JSONP请求是否失败并不容易。

CORS和JSONP对比

JSONP只能实现GET请求，而CORS支持所有类型的HTTP请求。使用CORS，开发者可以使用普通的XMLHttpRequest发起请求和获得数据，比起JSONP有更好的错误处理。SONP主要被老的浏览器支持，它们往往不支持CORS，而绝大多数现代浏览器都已经支持了CORS。

以上是ajax跨域的基本流程的詳細內容。更多資訊請關注PHP中文網其他相關文章！