JS的Ajax和同源策略

JS实现的ajax

AJAX核心（XMLHttpRequest）

其实AJAX就是在Javascript中多添加了一个对象：XMLHttpRequest对象。全部的异步交互都是使用XMLHttpServlet对象完成的。也就是说，咱们只须要学习一个Javascript的新对象便可。

var xmlHttp = new XMLHttpRequest()；（大多数浏览器都支持DOM2规范）

注意，各个浏览器对XMLHttpRequest的支持也是不一样的！为了处理浏览器兼容问题，给出下面方法来建立XMLHttpRequest对象：

function createXMLHttpRequest() {
        var xmlHttp;
        // 适用于大多数浏览器，以及IE7和IE更高版本
        try{
            xmlHttp = new XMLHttpRequest();
        } catch (e) {
            // 适用于IE6
            try {
                xmlHttp = new ActiveXObject("Msxml2.XMLHTTP");
            } catch (e) {
                // 适用于IE5.5，以及IE更早版本
                try{
                    xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
                } catch (e){}
            }
        }            
        return xmlHttp;
    }

使用流程

 

步骤1:  打开与服务器的链接（open方法）

当获得XMLHttpRequest对象后，就能够调用该对象的open()方法打开与服务器的链接了。open()方法的参数以下：

open(method, url, async)：

• method：请求方式，一般为GET或POST；
• url：请求的服务器地址，例如：/ajaxdemo1/AServlet，若为GET请求，还能够在URL后追加参数；
• async：这个参数能够不给，默认值为true，表示异步请求；

  var xmlHttp = createXMLHttpRequest();
  xmlHttp.open("GET", "/ajax_get/?a=1", true);　

步骤2:  发送请求

当使用open打开链接后，就能够调用XMLHttpRequest对象的send()方法发送请求了。send()方法的参数为POST请求参数，即对应HTTP协议的请求体内容，如果GET请求，须要在URL后链接参数。

注意：若没有参数，须要给出null为参数！若不给出null为参数，可能会致使FireFox浏览器不能正常发送请求！

xmlHttp.send(null);

当请求发送出去后，服务器端就开始执行了，但服务器端的响应尚未接收到。接下来咱们来接收服务器的响应。

XMLHttpRequest对象有一个onreadystatechange事件，它会在XMLHttpRequest对象的状态发生变化时被调用。下面介绍一下XMLHttpRequest对象的5种状态：

• 0：初始化未完成状态，只是建立了XMLHttpRequest对象，还未调用open()方法；
• 1：请求已开始，open()方法已调用，但还没调用send()方法；
• 2：请求发送完成状态，send()方法已调用；
• 3：开始读取服务器响应；
• 4：读取服务器响应结束。 

onreadystatechange事件会在状态为1、2、3、4时引起。

　　下面代码会被执行四次！对应XMLHttpRequest的四种状态！

xmlHttp.onreadystatechange = function() {
            alert('hello');
        };

　　但一般咱们只关心最后一种状态，即读取服务器响应结束时，客户端才会作出改变。咱们能够经过XMLHttpRequest对象的readyState属性来获得XMLHttpRequest对象的状态。

xmlHttp.onreadystatechange = function() {
            if(xmlHttp.readyState == 4) {
                alert('hello');    
            }
        };

其实咱们还要关心服务器响应的状态码是否为200，其服务器响应为404，或500，那么就表示请求失败了。咱们能够经过XMLHttpRequest对象的status属性获得服务器的状态码。

最后，咱们还须要获取到服务器响应的内容，能够经过XMLHttpRequest对象的responseText获得服务器响应内容。

xmlHttp.onreadystatechange = function() {
            if(xmlHttp.readyState == 4 && xmlHttp.status == 200) {
                alert(xmlHttp.responseText);    
            }
        };

if 发送POST请求

<1>须要设置请求头：xmlHttp.setRequestHeader(“Content-Type”, “application/x-www-form-urlencoded”)；注意 :form表单会默认这个键值对不设定，Web服务器会忽略请求体的内容。

<2>在发送时能够指定请求体了：xmlHttp.send(“username=yuan&password=123”)

JS实现ajax小结

/*建立XMLHttpRequest对象；
    调用open()方法打开与服务器的链接；
    调用send()方法发送请求；
    为XMLHttpRequest对象指定onreadystatechange事件函数，这个函数会在

    XMLHttpRequest的一、二、三、4，四种状态时被调用；

    XMLHttpRequest对象的5种状态，一般咱们只关心4状态。

    XMLHttpRequest对象的status属性表示服务器状态码，它只有在readyState为4时才能获取到。

    XMLHttpRequest对象的responseText属性表示服务器响应内容，它只有在
    readyState为4时才能获取到*/

同源策略

同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，若是缺乏了同源策略，则浏览器的正常功能可能都会受到影响。能够说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。

同源策略，它是由Netscape提出的一个著名的安全策略。如今全部支持JavaScript 的浏览器都会使用这个策略。所谓同源是指，域名，协议，端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪一个页面的，即检查是否同源，只有和百度同源的脚本才会被执行。若是非同源，那么在请求数据时，浏览器会在控制台中报一个异常，提示拒绝访问。

 

须要注意的是对于当前页面来讲,页面内存放的JS文件的与并不重要,重要的是加载JS页面所在的域是什么.

a.com经过如下代码:

<script src="http//b.com/b.js"></script>

加载了b.com上的b.js,可是b.js是运行在a.com中的,所以对于当前打开的页面来讲,b.js的源就应该是a.com 而非 b.com.

 

在浏览器中<script>,<img>,<iframe>,<link>等标签均可以跨域加载资源,而不受同源策略的限制.这些带src属性的标签每次加载时,其实是由浏览器发起了一次GET请求,不一样于XMLHttpRequest的是,经过src属性加载的资源,浏览器限制JS的权限,使其不能读写返回的内容(也就是说对于JS的跨域请求返回的结果作了拦截)

Jsonp

jsonp是json用来跨域的一个东西。原理是经过script标签的跨域特性来绕过同源策略。

<script>src标签的功能--从src的url里得到内容做为JS代码

<script src="http://code.jquery.com/jquery-latest.js"></script>

借助script标签，实现跨域请求，示例：

# =============================http://127.0.0.1:8001/index


<button>ajax</button>
{% csrf_token %}

<script>
    function func(name){
        alert(name)
    }
</script>

<script src="http://127.0.0.1:7766/SendAjax/"></script> #func('yuan')


# =============================http://127.0.0.1:8002/
from django.views.decorators.csrf import csrf_exempt

@csrf_exempt


def SendAjax(request):

    import json
    return HttpResponse("func('yuan')")

这其实就是JSONP的简单实现模式，或者说是JSONP的原型：建立一个回调函数，而后在远程服务上调用这个函数而且将JSON 数据形式做为参数传递，完成回调。

将JSON数据填充进回调函数，这就是JSONP的JSON+Padding的含义。

      通常状况下，咱们但愿这个script标签可以动态的调用，而不是像上面由于固定在html里面因此没等页面显示就执行了，很不灵活。咱们能够经过javascript动态的建立script标签，这样咱们就能够灵活调用远程服务了。

<button onclick="f()">sendAjax</button>

<script>
# 这个函数接受一个url,而且根据这个url建立一个script标签
    function addScriptTag(src){
         var script = document.createElement('script');
         script.setAttribute("type","text/javascript");
         script.src = src;
         document.body.appendChild(script);
         document.body.removeChild(script);
    }

　　# 这个是回调函数
    function func(name){
        alert("hello"+name)
    }

    function f(){
         addScriptTag("http://127.0.0.1:7766/SendAjax/")
    }
</script>

　　为了更加灵活，如今将你本身在客户端定义的回调函数的函数名传送给服务端，服务端则会返回以你定义的回调函数名的方法，将获取的json数据传入这个方法完成回调：

将8001的f()改写为：

function f(){
         addScriptTag("http://127.0.0.1:7766/SendAjax/?callbacks=func")
    }

8002的views改成：

def SendAjax(request):
 
    import json
 
    dic={"k1":"v1"}
 
    print("callbacks:",request.GET.get("callbacks"))
    callbacks=request.GET.get("callbacks")
 
    return HttpResponse("%s('%s')"%(callbacks,json.dumps(dic)))

jQuery对JSONP的实现

getJSON

jQuery框架也固然支持JSONP，可使用$.getJSON(url,[data],[callback])方法

8001的html改成

<button onclick="f()">sendAjax</button>

<script>

    function f(){
          $.getJSON("http://127.0.0.1:7766/SendAjax/?callbacks=?",function(arg){
            alert("hello"+arg)
        });
    }
    
</script>

结果是同样的，要注意的是在url的后面必须添加一个callback参数，这样getJSON方法才会知道是用JSONP方式去访问服务，callback后面的那个问号是内部自动生成的一个回调函数名。

      此外，若是说咱们想指定本身的回调函数名，或者说服务上规定了固定回调函数名该怎么办呢？咱们可使用$.ajax方法来实现

$.ajax

8001的html改成：

<script>

    function f(){
          $.ajax({
                url:"http://127.0.0.1:7766/SendAjax/",
                dataType:"jsonp",
                jsonp: 'callbacks', # 这个是键
                jsonpCallback:"SayHi" # 回调函数名
           });

       }

    function SayHi(arg){
                alert(arg);
            }

</script>

固然，最简单的形式仍是经过回调函数来处理：

<script>

    function f(){

            $.ajax({
               url:"http://127.0.0.1:7766/SendAjax/",
               dataType:"jsonp",            //必须有，告诉server，此次访问要的是一个jsonp的结果。
               jsonp: 'callbacks',          //jQuery帮助随机生成的：callbacks="wner"
               success:function(data){
                   alert("hi "+data)
              }
         });

       }

</script>

　　

 jsonp: 'callbacks'就是定义一个存放回调函数的键，jsonpCallback是前端定义好的回调函数方法名'SayHi'，server端接受callback键对应值后就能够在其中填充数据打包返回了; 

jsonpCallback参数能够不定义，jquery会自动定义一个随机名发过去，那前端就得用回调函数来处理对应数据了。利用jQuery能够很方便的实现JSONP来进行跨域访问。　　

注意 JSONP必定是GET请求