JQuery AJAX кросс-домен

Question

JQuery AJAX кросс-домен

464

Вот две страницы: test.php и testserver.php.

test.php

<script src="scripts/jq.js" type="text/javascript"></script>
<script>
    $(function() {
        $.ajax({url:"testserver.php",
            success:function() {
                alert("Success");
            },
            error:function() {
                alert("Error");
            },
            dataType:"json",
            type:"get"
        }
    )})
</script>

testserver.php

<?php
$arr = array("element1",
             "element2",
             array("element31","element32"));
$arr['name'] = "response";
echo json_encode($arr);
?>

Теперь моя проблема: когда оба этих файла находятся на одном сервере (локальном или веб-сервере), он работает и вызывается alert("Success"); Если он находится на разных серверах, то есть testerver.php на веб-сервере и test.php на localhost, его не работает и alert("Error") выполняется. Даже если URL-адрес внутри ajax изменен на http://domain.com/path/to/file/testserver.php

Firose Hussain 17 авг. 2010, в 19:47

Источник

37

Для людей, заходящих. Прочтите это, чтобы понять, как работают междоменные вызовы JavaScript, stackoverflow.com/a/11736771/228656
Abdul Munim 02 авг. 2012, в 09:34
1

Я написал ответ на этот вопрос здесь: Загрузка междоменной html-страницы с помощью jQuery AJAX - последней, поддерживающей https
jherax 26 июнь 2014, в 16:02

Теги:

javascript

jquery

ajax

json

cross-domain

15 ответов

186

JSONP - хороший вариант, но есть более простой способ. Вы можете просто установить заголовок Access-Control-Allow-Origin на своем сервере. Установка его на * будет принимать междоменные запросы AJAX из любого домена. (https://developer.mozilla.org/en/http_access_control)

Метод для этого будет, разумеется, варьироваться от языка к языку. Здесь он находится в Rails:

class HelloController < ApplicationController
  def say_hello
    headers['Access-Control-Allow-Origin'] = "*"
    render text: "hello!"
  end
end

В этом примере действие say_hello будет принимать запросы AJAX из любого домена и вернуть ответ "привет!".

Вот пример заголовков, которые он может вернуть:

HTTP/1.1 200 OK 
Access-Control-Allow-Origin: *
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Content-Type: text/html; charset=utf-8
X-Ua-Compatible: IE=Edge
Etag: "c4ca4238a0b923820dcc509a6f75849b"
X-Runtime: 0.913606
Content-Length: 6
Server: WEBrick/1.3.1 (Ruby/1.9.2/2011-07-09)
Date: Thu, 01 Mar 2012 20:44:28 GMT
Connection: Keep-Alive

Просто, как есть, у него есть некоторые ограничения браузера. См. http://caniuse.com/#feat=cors.

joshuarh 01 март 2012, в 22:23

12

Jsonp не поддерживал пост, ставил и удалял. Ваше решение отлично работает.
TonyTakeshi 23 июль 2012, в 04:40
34

в заголовке PHP («Access-Control-Allow-Origin: *»);
SparK 20 сен. 2012, в 14:46
0

@SparK Этот код в порядке, когда я использую xmlhttpRequest. Но не работает, когда я использую jquery.Post ...
Warrior 02 янв. 2013, в 13:27
9

@Warrior Если вы используете метод .post() jQuery, вы должны включить междоменную поддержку в jQuery. Это делается с помощью этого: $.support.cors = true .
Friederike 26 апр. 2013, в 12:29
3

К вашему сведению - официальное название для этого - «CORS» (Cross Origin Resource Sharing). Дополнительная информация: en.wikipedia.org/wiki/Cross-origin_resource_sharing
Dan Esparza 30 апр. 2013, в 14:42
0

очень просто! спасибо ребята
Kristian 29 июль 2013, в 18:33
5

Просто лениво не заносить определенные домены в белый список и вместо этого разрешать доступ со всех доменов ...
Jasper 22 янв. 2014, в 18:04
20

Каковы последствия безопасности для настройки сервера таким образом?
Jon Schneider 24 янв. 2014, в 03:12
4

@JonSchneider проблема с этим подходом (просто позволяя любое происхождение с *) состоит в том, что любая вредоносная страница может собирать информацию пользователя на этом сервере. У Gmail была эта проблема однажды. Это было непреднамеренное раскрытие списка контактов пользователя.
Sebastián Grignoli 11 дек. 2014, в 21:10
16

Было бы лучше разрешить использовать только те домены, с которыми вы хотите обмениваться данными, вместо использования карточки "*".
Sebastián Grignoli 11 дек. 2014, в 21:11

Показать ещё 8 комментариев

27

Вы можете управлять этим через HTTP-заголовок, добавив Access-Control-Allow-Origin. Установка его на * будет принимать междоменные запросы AJAX из любого домена.

Использование PHP действительно просто, просто добавьте следующую строку в script, к которой вы хотите получить доступ из своего домена:

header("Access-Control-Allow-Origin: *");

Не забудьте включить модуль mod_headers в httpd.conf.

Adorjan Princz 29 нояб. 2014, в 11:23

19

Вам нужно взглянуть на Одинаковая политика происхождения:

При вычислении одна и та же политика происхождения является важной концепцией безопасности для количество программ на стороне браузера языки, такие как JavaScript. политика разрешает выполнение скриптов страницы, происходящие с того же сайта для доступа к другим методам и свойства без конкретных ограничений, но препятствует доступу к большинство методов и свойств в страниц на разных сайтах.

Чтобы вы могли получать данные, это должно быть:

Тот же протокол и хост

Вам нужно реализовать JSONP, чтобы обойти это.

Sarfraz 17 авг. 2010, в 20:14

0

Могу ли я получить рабочий пример, используя jsonp ?
aagjalpankaj 18 нояб. 2015, в 13:19

16

Мне пришлось загрузить веб-страницу с локального диска "file:///C:/test/htmlpage.html", вызвать url "http://localhost/getxml.php" и сделать это в браузерах IE8 + и Firefox12 + используйте jQuery v1.7.2 lib, чтобы свести к минимуму шаблонный код. После прочтения десятки статей, наконец, понял это. Вот мое резюме.

сервер script (.php,.jsp,...) должен возвращать заголовок ответа HTTP Access-Control-Allow-Origin: *
перед использованием jQuery ajax установите этот флаг в javascript: jQuery.support.cors = true;
вы можете установить флаг один раз или каждый раз перед использованием функции jQuery ajax
теперь я могу читать XML-документ в IE и Firefox. Другие браузеры я не тестировал.
Ответный документ может быть простым/текстовым, xml, json или чем-либо еще

Вот пример jQuery ajax-вызова с некоторыми отладочными sysouts.

jQuery.support.cors = true;
$.ajax({
    url: "http://localhost/getxml.php",
    data: { "id":"doc1", "rows":"100" },
    type: "GET",
    timeout: 30000,
    dataType: "text", // "xml", "json"
    success: function(data) {
        // show text reply as-is (debug)
        alert(data);

        // show xml field values (debug)
        //alert( $(data).find("title").text() );

        // loop JSON array (debug)
        //var str="";
        //$.each(data.items, function(i,item) {
        //  str += item.title + "\n";
        //});
        //alert(str);
    },
    error: function(jqXHR, textStatus, ex) {
        alert(textStatus + "," + ex + "," + jqXHR.responseText);
    }
});

Whome 16 май 2012, в 13:50

1

Я написал ответ на этот вопрос здесь: Загрузка междоменной html-страницы с помощью jQuery AJAX - последней, поддерживающей https
jherax 26 июнь 2014, в 16:08
0

Для самой горячей точки: в PHP добавьте эту строку в скрипт: header("Access-Control-Allow-Origin: *");
T30 15 янв. 2016, в 13:30

10

Верно, что политика одного и того же происхождения предотвращает выполнение запросов JavaScript по всем доменам, но спецификация CORS позволяет использовать только тот вид доступа к API, который вам нужен, и поддерживается текущей группой основных браузеров.

Посмотрите, как включить совместное использование ресурсов между клиентом и сервером:

http://enable-cors.org/

"Совместное использование ресурсов (CORS) - это спецификация, которая позволяет по-настоящему открывать доступ через границы домена. Если вы обслуживаете общедоступный контент, рассмотрите возможность использования CORS, чтобы открыть его для универсального доступа к JavaScript/браузерам".

Jason 29 авг. 2013, в 11:18

9

Я использую сервер Apache, поэтому я использовал модуль mod_proxy. Включить модули:

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so

Затем добавьте:

ProxyPass /your-proxy-url/ http://service-url:serviceport/

Наконец, передайте прокси-url на ваш script.

zenio 02 апр. 2012, в 13:01

9

Это возможно, но вам нужно использовать JSONP, а не JSON. Ссылка Стефана указала вам в правильном направлении. Страница jQuery AJAX содержит дополнительную информацию о JSONP.

У Remy Sharp есть подробный пример с использованием PHP.

Paul Schreiber 17 авг. 2010, в 19:55

0

Да, ссылка Стефана, сэр, я изучаю это .... Большое спасибо вам всем ...
Firose Hussain 18 авг. 2010, в 12:14

8

Защита браузера предотвращает создание ajax-звонка со страницы, размещенной в одном домене, на страницу, размещенную в другом домене; это называется " политика одного и того же происхождения".

Jacob Mattison 17 авг. 2010, в 20:44

1

связать это: en.wikipedia.org/wiki/Same_origin_policy
Bob Fincheimer 17 авг. 2010, в 19:53

5

Существует несколько примеров использования JSONP, которые включают обработку ошибок.

Однако обратите внимание, что при использовании JSONP событие ошибки не запускается! Смотрите: http://api.jquery.com/jQuery.ajax/ или jQuery ajax-запрос с использованием jsonp-ошибки

BillyTom 10 май 2013, в 16:21

4

Из документов Jquery (ссылка):

Из-за ограничений безопасности браузера большинство запросов "Ajax" подчиняются одной и той же политике происхождения; запрос не может успешно извлекать данные из другого домена, субдомена или протокола.
Script, а запросы JSONP не подпадают под одни и те же ограничения политики происхождения.

Поэтому я бы сказал, что вам нужно использовать jsonp для запроса. Но не пробовал это сам.

William Clemens 17 авг. 2010, в 20:39

1

Я знаю 3 способа решить вашу проблему:

Сначала, если у вас есть доступ к обоим доменам, вы можете разрешить доступ ко всем другим доменам, используя:

header("Access-Control-Allow-Origin: *");

или просто домен, добавив следующий код в файл.htaccess:

<FilesMatch "\.(ttf|otf|eot|woff)$"> <IfModule mod_headers.c> SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.net|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0 Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin </IfModule> </FilesMatch>
вы можете получить запрос ajax в php файл на своем сервере и обработать запрос в другом домене, используя этот php файл.
вы можете использовать jsonp, потому что ему не требуется разрешение. для этого вы можете прочитать ответ нашего друга @BGerrissen.

Ali_Hr 03 март 2018, в 12:50

0

он работает, все, что вам нужно:

PHP:

header('Access-Control-Allow-Origin: http://www.example.com');
header("Access-Control-Allow-Credentials: true");
header('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');

JS (jQuery ajax):

var getWBody = $.ajax({ cache: false,
        url: URL,
        dataType : 'json',
        type: 'GET',
        xhrFields: { withCredentials: true }
});

Paun Narcis Iulian 04 май 2018, в 10:47

0

Для Microsoft Azure это немного отличается.

Azure имеет специальную настройку CORS, которая должна быть установлена. Это по сути то же самое, что и за кулисами, но просто установка заголовка joshuarh упоминаний не будет работать. Документацию Azure для включения кросс-домена можно найти здесь:

https://docs.microsoft.com/en-us/azure/app-service-api/app-service-api-cors-consume-javascript

Я поработал с этим в течение нескольких часов, прежде чем осознать, что моя хостинговая платформа имеет эту специальную настройку.

Josh Schultz 24 июль 2017, в 15:29

-3

Для запросов AJAX с перекрестным контуром используйте следующий плагин jQuery. https://github.com/jinujd/jQuery-Async-Form Он работает асинхронно, без перезагрузки. Это не AJAX, но в большинстве случаев он выполняет задачу

Jinu Joseph Daniel 20 авг. 2015, в 21:49

Ещё вопросы

Для людей, заходящих. Прочтите это, чтобы понять, как работают междоменные вызовы JavaScript, stackoverflow.com/a/11736771/228656
Я написал ответ на этот вопрос здесь: Загрузка междоменной html-страницы с помощью jQuery AJAX - последней, поддерживающей https
Jsonp не поддерживал пост, ставил и удалял. Ваше решение отлично работает.
в заголовке PHP («Access-Control-Allow-Origin: *»);
@SparK Этот код в порядке, когда я использую xmlhttpRequest. Но не работает, когда я использую jquery.Post ...
@Warrior Если вы используете метод .post() jQuery, вы должны включить междоменную поддержку в jQuery. Это делается с помощью этого: $.support.cors = true .
К вашему сведению - официальное название для этого - «CORS» (Cross Origin Resource Sharing). Дополнительная информация: en.wikipedia.org/wiki/Cross-origin_resource_sharing
Просто лениво не заносить определенные домены в белый список и вместо этого разрешать доступ со всех доменов ...
Каковы последствия безопасности для настройки сервера таким образом?
@JonSchneider проблема с этим подходом (просто позволяя любое происхождение с *) состоит в том, что любая вредоносная страница может собирать информацию пользователя на этом сервере. У Gmail была эта проблема однажды. Это было непреднамеренное раскрытие списка контактов пользователя.
Было бы лучше разрешить использовать только те домены, с которыми вы хотите обмениваться данными, вместо использования карточки "*".
Могу ли я получить рабочий пример, используя jsonp ?
Я написал ответ на этот вопрос здесь: Загрузка междоменной html-страницы с помощью jQuery AJAX - последней, поддерживающей https
Для самой горячей точки: в PHP добавьте эту строку в скрипт: header("Access-Control-Allow-Origin: *");
Да, ссылка Стефана, сэр, я изучаю это .... Большое спасибо вам всем ...
связать это: en.wikipedia.org/wiki/Same_origin_policy

BGerrissen · Accepted Answer · 2010-08-17T21-40-00.000Z

375

Лучший ответ

Используйте JSONP.

JQuery:

$.ajax({
     url:"testserver.php",
     dataType: 'jsonp', // Notice! JSONP <-- P (lowercase)
     success:function(json){
         // do stuff with json (in this case an array)
         alert("Success");
     },
     error:function(){
         alert("Error");
     }      
});

PHP:

<?php
$arr = array("element1","element2",array("element31","element32"));
$arr['name'] = "response";
echo $_GET['callback']."(".json_encode($arr).");";
?>

Эхо может быть неправильным, это было некоторое время, так как я использовал php. В любом случае вам нужно вывести callbackName('jsonString') заметить кавычки. jQuery передаст свое собственное имя обратного вызова, поэтому вам нужно получить это из параметров GET.

И, как писал Стефан Кендалл, $.getJSON() - это сокращенный метод, но тогда вам нужно добавить 'callback=?' к url как параметр GET (да, значение is?, jQuery заменяет его собственным методом обратного вызова).

BGerrissen 17 авг. 2010, в 21:40

2

Почему вам нужно возвращать callbackName('/* json */') вместо callbackName(/* json */) ?
Eric 23 окт. 2011, в 12:41
3

@eric обратный вызов ожидает строку JSON. Теоретически, объект может также работать, но не уверен, как jQuery реагирует на это, он может выдать ошибку или потерпеть неудачу молча.
BGerrissen 24 окт. 2011, в 10:27
0

И не забудьте добавить http: // или https: // в начале запроса.
Sanket Sahu 11 июль 2013, в 09:54
0

Я получаю следующую ошибку. Ошибка синтаксиса: отсутствует; перед оператором {"ResultCode": 2}. Где {"ResultCode": 2} является ответом. Пожалуйста посоветуй.
user2003356 23 янв. 2014, в 08:59
0

@ user2003356 похоже, что вы возвращаете простой JSON вместо JSONP. Вам необходимо вернуть что-то вроде: callbackFunction ({"ResultCode": 2}). jQuery добавляет параметр GET 'callback' к запросу, это имя функции обратного вызова, которую использует jquery, и должно быть добавлено в ответ.
BGerrissen 21 фев. 2014, в 13:49
0

Запятая в конце ошибки: функция () {...}, кажется, вызывает ошибку. Я бы взял это, но правка должна быть 6 символов. так. это хорошо.
user1566694 19 март 2014, в 18:49
0

Объяснение, данное @BGerrissen, хорошо сработало для меня после добавления crossDomain: true, из документов "crossDomain (по умолчанию: false для запросов в одном домене, true для запросов между доменами) Тип: Boolean Если вы хотите форсировать запрос crossDomain (например, JSONP) в том же домене, установите значение crossDomain в true. Это позволяет, например, перенаправление на стороне сервера в другой домен. (версия добавлена: 1.5) "
srj 13 май 2014, в 17:36
0

Существует jsonp.jit.su , это бесплатный прокси- сервер JSON «Включает междоменные запросы к любому JSON API». И это на Github github.com/afeld/jsonp
Joël 14 май 2014, в 18:57
1

Сейчас 2016 год. CORS теперь широко поддерживаемый стандарт, в отличие от JSONP, который можно назвать только взломом. Ответ @ joshuarh ниже должен быть предпочтительным сейчас.
Vicky Chijwani 20 июль 2016, в 09:16
0

Почему необходимо получить метод обратного вызова на сервере?
Sudip Bhandari 26 июль 2016, в 08:23
0

Имейте в виду, что использование междоменного JSONP может открыть ваш веб-сайт также для межсайтовых скриптовых атак, если удаленный API имеет возможность восстановления.
Raymond Nijland 24 март 2019, в 23:15

Показать ещё 9 комментариев