Ajax跨域问题研究笔记

浏览器中输入

http://www.a.com:8888/crossdomain/script_on_site_a.jsp
一切正常。

四、其他

1.在实际应用中，如果url带参数，可以采用动态创建script元素，动态指定src来解决。

2.还有一种方法，就是在www.a.com站点中增加一个servlet，通过servlet调用urlConnection来获取任意站点的资

源，再把结果传回，站点a中的页面只需要调用本地的servlet，避免了跨域。但这样的方式，会带来本地服务器的

额外开销。
可参看：http://deepin.javaeye.com/blog/512028
3.ajax框架提供的jsonp，可以在一定程度上解决跨域问题。这一定程度，就是说得服务器支持你。
jsonp（JSON WITH PADDING）
利用script标签，通过特定的src地址的调用，来执行一个客户端的js函数，在服务器端生成相对的数据（json格

式）并以参数的形式传递给这个客户端的js函数并执行这个函数，前提是需要服务器端的数据输出格式必须是JSON

。
可参看文章http://hpyer.cn/visit-remote-data-with-jsonp-in-javascript.html

4.iframe可以跨域，但存在一些问题。

解决办法可参看http://liuhaixiao.javaeye.com/blog/81959（未测试）

5.如果所有资源都可以自己控制，可以考虑使用document.domain来解决。

6.最新进展：W3C 跨域请求标准已经出台，详见《AJAX（XMLHttpRequest）进行跨域请求方法详解》http://www.chinaz.com/Program/XML/01111035112010.html

7.有专门解决ajax跨域问题的js库：

http://www.ajax-cross-domain.com/

五、思考：
1.为什么不允许跨域？
整半天这么费劲，干嘛不允许跨域呢？这是出于安全考虑。至于跨域请求到底有哪些风险呢？我能想到的，因为ajax可以不刷新页面进行一系列操作，一旦网站被恶意注入，用户不知不觉就受害了

。不过，script标签同样可以做到这一点，为啥不被禁止呢？呵呵，这个问题有待考证。
2.为什么一定要动态创建script呢？直接写<script src="xxx"></script>不行吗？
不是不行，而是说到ajax，往往是在页面加载完之后，用户进行了某种行为，比如点击一个按钮之后，才出发ajax请求，而script标签是页面加载完毕马上要执行的。如果要实现类似Ajax的效果，就要

在点击按钮的时候，动态创建script标签，获取远端资源。但有局限性：不是真正的ajax，只能使用get方式，返回的结果，必须输出script才有意义。
还可以参考：http://hi.baidu.com/reydingruhui/blog/item/05f0b3e9e0b95236b90e2dc7.html

3.参考文章
http://www.chinaunix.net/jh/80/988681.html
看完这篇文章，应该知道，后台输出的东西，必须是javascript语句。一般使用json数据给变量赋值比如var person={id:'1',name:'sss'};这样，在下面的js中，才能得到变量值，这和jsonp的原理应该差不多。
http://www.jz123.cn/text/284020.html

注：不管怎么搞，如果你要访问的跨域资源是未知的（不知道返回什么结果），跨域往往是不能成功的。因为返回的东西只有是合法的纯javascript，才能被读取。