AJAX 应用

ajax简介

 

AJAX即“Asynchronous Javascript And XML”（异步JavaScript和XML），是指一种建立交互式网页应用的网页开发技术。Ajax不是一种新的编程语言，而是使用现有标准的新方法。AJAX能够在不从新加载整个页面的状况下，与服务器交换数据。这种异步交互的方式，使用户单击后，没必要刷新页面也能获取新数据。使用Ajax，用户能够建立接近本地桌面应用的直接、高可用、更丰富、更动态的Web用户界面。

Ajax包括：

• XHTML和CSS
• 使用文档对象模型(Document Object Model)做动态显示和交互
• 使用XML和XSLT作数据交互和操做
• 使用XMLHttpRequest进行异步数据接收

利用AJAX能够作：

• 注册时，输入用户名自动检测用户是否已经存在。
• 登录时，提示用户名密码错误
• 删除数据行时，将行ID发送到后台，后台在数据库中删除，数据库删除成功后，在页面DOM中将数据行也删除。（博客园）

ajax伪造

iframe就是咱们经常使用的iframe标签：<iframe>。iframe标签是框架的一种形式，也比较经常使用到，iframe通常用来包含别的页面，例如咱们能够在咱们本身的网站页面加载别人网站或者本站其余页面的内容。iframe标签的最大做用就是让页面变得美观。iframe标签的用法有不少，主要区别在于对iframe标签订义的形式不一样，例如定义iframe的长宽高。

所以，iframe标签具备局部加载内容的特性，因此可使用其来伪造Ajax请求。

<!DOCTYPE html>
<html>
    <head lang="en">
        <meta charset="UTF-8">
        <title>伪造AJAX</title>
    </head>
    <body>
        <div>
            <p>请输入要加载的地址：<span id="currentTime"></span></p>
            <p>
                <input id="url" type="text" />
                <input type="button" value="提交" onclick="LoadPage();">
            </p>
        </div>
        <div>
            <h3>加载页面位置：</h3>
            <iframe id="iframePosition" style="width: 100%;height: 500px;"></iframe>
        </div>
        <script type="text/javascript">
            window.onload= function(){
                var myDate = new Date();
                document.getElementById('currentTime').innerText = myDate.getTime();
 
            };
            function LoadPage(){
                var targetUrl =  document.getElementById('url').value;
                document.getElementById("iframePosition").src = targetUrl;
            }
        </script>
    </body>
</html>

原理是这样的，设置一个提交按钮，再设置一个输入框，当咱们输入一个网址的时候，在当前的页面加载输入网址的页面信息，呈如今iframe框里，这样就能作到不刷新URL来提交不一样的信息。

原生ajax

 Ajax的核心是XMLHttpRequest对象(XHR)。XHR为向服务器发送请求和解析服务器响应提供了接口。可以以异步方式从服务器获取新数据。

1、XMLHttpRequest对象

Ajax的核心是XMLHttpRequest对象(XHR)。XHR为向服务器发送请求和解析服务器响应提供了接口。可以以异步方式从服务器获取新数据。

XHR的主要方法有：

1. void open(String method,String url,Boolen async)   
   用于建立请求    
   参数：
       method： 请求方式（字符串类型），如：POST、GET、DELETE...
       url：    要请求的地址（字符串类型）
       async：  是否异步（布尔类型）
 
2. void send(String body)
    用于发送请求
    参数：
        body： 要发送的数据（字符串类型） 

3. void setRequestHeader(String header,String value)
    用于设置请求头
    参数：
        header： 请求头的key（字符串类型）
        vlaue：  请求头的value（字符串类型）
 
4. String getAllResponseHeaders()
    获取全部响应头
    返回值：
        响应头数据（字符串类型）
 
5. String getResponseHeader(String header)
    获取响应头中指定header的值
    参数：
        header： 响应头的key（字符串类型）
    返回值：
        响应头中指定的header对应的值
 
6. void abort()
    终止请求

XHR的主要属性有：

1. Number readyState
   状态值（整数），能够肯定请求/响应过程的当前活动阶段

• 0：未初始化。未调用open()方法
• 1：启动。已经调用open()方法，未调用send()方法
• 2：发送。已经调用send()方法，未接收到响应
• 3：接收。已经接收到部分数据
• 4：完成。已经接收到所有数据，能够在客户端使用

2. Function onreadystatechange                当readyState的值改变时自动触发执行其对应的函数（回调函数）

3. String responseText                        做为响应主体被返回的文本（字符串类型）

4. XmlDocument responseXML                    服务器返回的数据（Xml对象） 

5. Number states                              状态码（整数），如：200、404... 

6. String statesText                          状态文本（字符串），如：OK、NotFound...

 2、get请求

GET用于向服务器查询某些信息：

  get

3、post请求

POST请求用于向服务器发送应该被保存的数据。POST请求的主体能够包含很是多的数据，并且格式不限。

  post

jquery ajax

jQuery 提供多个与 AJAX 有关的方法。

经过 jQuery AJAX 方法，您可以使用 HTTP Get 和 HTTP Post 从远程服务器上请求文本、HTML、XML 或 JSON - 同时您可以把这些外部数据直接载入网页的被选元素中。

• jQuery 不是生产者，而是大天然搬运工。
• jQuery Ajax本质 XMLHttpRequest 或 ActiveXObject 

注：2.+版本再也不支持IE9如下的浏览器

  方法列表

写一个最简单的例子：

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <p>
        <input type="button" onclick="XmlSendRequest();" value='Ajax请求' />
    </p>
    <script type="text/javascript" src="jquery-1.12.4.js"></script>
    <script>
        function JXmlSendRequest(){
            $.ajax({
                url: "http://c2.com:8000/test/",    // 访问url地址
                type: 'GET',                        // get方式提交
                dataType: 'text',　　　　　　　　　　  // 数据类型
                success: function(data, statusText, xmlHttpRequest){  // 成功后返回的结果
                    console.log(data);
                }
            })
        }
    </script>
</body>
</html>

跨域ajax

因为浏览器存在同源策略机制，同源策略阻止从一个源加载的文档或脚本获取或设置另外一个源加载的文档的属性。因此ajax自己是不能够跨域的，经过产生一个script标签来实现跨域。由于script标签的src属性是没有跨域的限制的。

浏览器同源策略并非对全部的请求均制约：

• 制约： XmlHttpRequest
• 不制约： img、iframe、script等具备src属性的标签

注：本身模拟跨域，须要如今本身电脑的host文件里面添加两条域名，我这里添加的是zhangyanlin.com和aylin.com这两个域名

1、JSONP实现跨域请求

JSONP是一个非官方的协议，它容许在服务器端集成Script tags返回至客户端，经过javascript callback的形式实现跨域访问。jsonp只能经过get方式进行跨域请求

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <input  type="button" value="Ajax" onclick="DoAjax();"/>
    <input  type="button" value="JsonpAjax" onclick="JsonpAjax();"/>

    <script src="/statics/jquery-1.12.4.js"></script>
    <script src="http://aylin.com:8002/statics/jquery.cookie.js"></script>
    <script>
        function func(arg) {
            console.log(arg);  // 输出结果就是python代码给传过来的列表[11,22,33,]
        }
        function DoAjax() {
            $.ajax({
                url: 'http://alex.com:8002/index',
                type: 'POST',
                data: {'k1': 'v1'},
                success: function (arg) {
                    console.log(arg);
                }               
            });
        }
        function JsonpAjax() {
//            var tag = document.createElement('script');
//            tag.src = "http://alex.com:8002/index";
//            document.head.appendChild(tag);
//            document.head.removeChild(tag);
            $.ajax({
                url: "http://aylin.com:8002/index",
                dataType: 'jsonp',
                jsonpCallBack: 'func'   // 对端给返回函数名，函数接收的参数是内容
            })
        }
    </script>
</body>
</html>

aylin.com域名这边能够给定义函数

# 采用pythontornado框架来进行的
class IndexHandler(tornado.web.RequestHandler):
    def get(self):
        self.write('func([11,22,33]);')
    def post(self, *args, **kwargs):
        self.write('t2.post')

在这里jsonp就采用script标签的src来进行跨域请求的

 2、CORS

上面那种方法说到浏览器的同源策略致使ajax没法进行跨域传输，那么这种方法就能够突破浏览器限制来进行传输。当数据发送给对方域名的时候，对方已经收到，可是在返回的时候被浏览器给阻挡，咱们能够写一串相似于身份证的字符串，经过浏览器的预检，从而达到数据的传输。

这方面分为简单请求和非简单请求

条件：
    一、请求方式：HEAD、GET、POST
    二、请求头信息：
        Accept
        Accept-Language
        Content-Language
        Last-Event-ID
        Content-Type 对应的值是如下三个中的任意一个
                                application/x-www-form-urlencoded
                                multipart/form-data
                                text/plain
 
注意：同时知足以上两个条件时，则是简单请求，不然为复杂请求

简单请求只一次请求，而复杂请求是两次请求，在发送数据以前会先发一次请求用于作“预检”，只有“预检”经过后才再发送一次请求用于数据传输。

基于cors实现AJAX请求:

一、支持跨域，简单请求

服务器设置响应头：Access-Control-Allow-Origin = '域名' 或 '*'

  HTML

  tornado

二、支持跨域，复杂请求

因为复杂请求时，首先会发送“预检”请求，若是“预检”成功，则发送真实数据。

• “预检”请求时，容许请求方式则需服务器设置响应头：Access-Control-Request-Method
• “预检”请求时，容许请求头则需服务器设置响应头：Access-Control-Request-Headers
• “预检”缓存时间，服务器设置响应头：Access-Control-Max-Age

  HTML

  tornado

三、跨域传输cookie

在跨域请求中，默认状况下，HTTP Authentication信息，Cookie头以及用户的SSL证书不管在预检请求中或是在实际请求都是不会被发送。

若是想要发送：

• 浏览器端：XMLHttpRequest的withCredentials为true
• 服务器端：Access-Control-Allow-Credentials为true
• 注意：服务器端响应的 Access-Control-Allow-Origin 不能是通配符 *

  HTML

  View Code