Подтвердить что ты не робот

Межсайтовый XMLHttpRequest

Я хочу предоставить часть кода Javascript, которая будет работать на любом веб-сайте, где она включена, но всегда необходимо получить больше данных (или даже изменить данные) на сервере, на котором размещен Javascript. Я знаю, что существуют очевидные ограничения безопасности.

Рассмотрим index.html, размещенный на xyz.com, содержащий следующее:

<script type="text/javascript" src="http://abc.com/some.js"></script>

Будет ли some.js иметь возможность использовать XMLHttpRequest для публикации данных на abc.com? Другими словами, abc.com неявно доверяет, потому что мы загрузили Javascript оттуда?

4b9b3361

ОТВЕТЫ

Ответ 1

Будет ли some.js иметь возможность использовать XMLHttpRequest для публикации данных на abc.com? Другими словами, abc.com неявно доверяет, потому что мы загрузили Javascript оттуда?

Нет, поскольку script загружается в отдельный домен, у него не будет доступа...

Если вы доверяете источнику данных, возможно, JSONP станет лучшим вариантом. JSONP предполагает динамическое добавление новых элементов script на страницу с установкой SRC в другой домен с обратным вызовом, установленным как параметр в строке запроса. Например:

function getJSON(URL,success){
    var ud = 'json'+(Math.random()*100).toString().replace(/\./g,'');
    window[ud]= function(o){
        success&&success(o);
    };
    document.getElementsByTagName('body')[0].appendChild((function(){
        var s = document.createElement('script');
        s.type = 'text/javascript';
        s.src = URL.replace('callback=?','callback='+ud);
        return s;
    })());
}

getJSON('http://YOUR-DOMAIN.com/script.php?dataName=john&dataAge=99&callback=?',function(data){
    var success = data.flag === 'successful';
    if(success) {
        alert('The POST to abc.com WORKED SUCCESSFULLY');
    }
});

Итак, вам нужно разместить свой собственный script, который может использовать PHP/CURL для публикации в домене abc.com, а затем выведет ответ в формате JSONP:

Я не слишком хорош с PHP, но может быть что-то вроде этого:

<?php
    /* Grab the variables */
    $postURL = $_GET['posturl'];
    $postData['name'] = $_GET['dataName'];
    $postData['age'] = $_GET['dataAge'];

    /* Here, POST to abc.com */
    /* MORE INFO: http://uk3.php.net/curl & http://www.askapache.com/htaccess/sending-post-form-data-with-php-curl.html */

    /* Fake data (just for this example:) */
    $postResponse = 'blahblahblah';
    $postSuccess = TRUE;

    /* Once you've done that, you can output a JSONP response */
    /* Remember JSON format == 'JavaScript Object Notation' - e.g. {'foo':{'bar':'foo'}} */
    echo $_GET['callback'] . '({';
    echo "'flag':' . $postSuccess . ',";
    echo "'response':' . $postResponse . '})";

?>

Итак, ваш сервер, которым вы управляете, будет выступать в качестве среды между клиентом и abc.com, вы отправите ответ обратно клиенту в формате JSON, чтобы его можно было понять и использовать в JavaScript...

Ответ 2

Самый простой вариант для вас - проксировать вызов через сервер, загружая javascript. Поэтому some.js сделает вызов на сервер хостинга, и этот сервер отправит запрос на abc.com.

конечно, если это не вариант, потому что вы не контролируете хостера, есть некоторые варианты, но, похоже, он погряз в кросс-браузерных трудностях: http://ajaxian.com/archives/how-to-make-xmlhttprequest-calls-to-another-server-in-your-domain

Ответ 3

Вы можете использовать easyXSS. Его библиотека, которая позволяет передавать данные и вызывать методы в пределах границ области. Его довольно легко, и вы сможете его использовать. На сайте code.google.com есть много примеров