JavaScript 可以与位于不同服务器上的数据库交互吗?
即涉及三台计算机
- 一个服务器:它提供一个带有 JavaScript 的 HTML 页面
- 客户端:运行想要与之交谈的页面
- 第二个服务器:向/从客户端发送和接收数据
这是否违反同源政策?如果不是为什么不呢?如果是这样,有没有办法解决它?
我的背景 - 我是一位称职的计算机科学家,但我从未处理过客户端编程。虽然回答时可以随意使用复杂的想法,但请假设我对 JavaScript 语言或客户端编程背后的特定政策一无所知。
问问题
2166 次
3 回答
3
是的,这违反了 SOP。有很多方法可以解决它,但值得强调一个关键点:
客户端访问远程服务器的任何尝试都需要该服务器的同谋。
那么有哪些选择呢?
JSON-P
JSON-P 涉及让服务器返回一个包含在对回调函数的调用中的响应。它是这样工作的:
- 一个新的脚本标签被 DOM 脚本化到页面中,或者一个现有的被重用
- 脚本标签的
src属性设置为请求路径(脚本标签可以从任何地方加载脚本——它们不受 SOP 约束) - 带有数据的服务器响应,通常(但不一定)编码为 JSON,并将其打印为回调函数调用的参数(必须在您的 JS 中定义)
因此,用原生 JS 编写的 JSON-P 请求如下所示:
callback = function(response) { console.log(response); };
var script = document.createElement('script');
script.src = 'http://www.some-request.com/here.php?callback=callback'; //the example happens to use the same name; the callback parameter tells the some-request domain what function to wrap JSON in
document.body.appendChild(script);
然后,如果服务器的响应是
callback({"foo": "bar"});
...我们会在控制台中得到响应。请注意,我明确地将函数设为全局,因为它必须是可访问的并且不能被范围隐藏。(从这个意义上说,它必须是全局可访问的,但不一定是传统意义上的全局 - 例如,它可以是全局命名空间的静态方法)。
许多符合 JSON-P 的 Web 服务器允许您指定您希望它调用的函数的名称,通常通过将此信息附加到请求 URL 中&callback=func_name。
更多信息在这里。
CORS / XHR2
在 CORS 中,也就是 XHR(即 AJAX)v2 背后的跨域思想,这将意味着服务器发送一个标头,表示哪些域可以向它发出跨域请求 - 或所有域。例如,在 PHP 中,我们可以允许任何调用者域发出请求:
header("Access-Control-Allow-Origin: *");
更多信息在这里。
EasyXDM*
EasyXDM整理了许多特定于供应商和更新的 HTML5 到达方式,用于在域之间发布和接收基于文本的消息,值得一看。
非 JS
如果您需要从不玩球的服务器获取某些东西,您唯一的选择是中间服务器端脚本,因为这些可以触发 cURL 请求,可以在不受 SOP 限制的情况下抓取远程资源。
$curl = curl_init("http://www.example.com/");
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($curl);
更多关于 cURL的信息。
于 2012-07-05T00:42:11.360 回答
1
是的,这违反了同源政策。
您可以使用JSONP绕过此限制,它利用script标签的行为从第二个(数据库)主机获取数据。这假设您可以以非常特殊的方式从第二个主机提供数据:将 JSON 响应包装在回调中。它还需要使用 GET 来提供响应。
另一种选择是CORS,它还需要对服务器发送数据的方式进行一些控制,并将限制您使用更新的网络浏览器。
于 2012-07-04T23:46:18.917 回答