Senden cross-domain-ajax-POST-request

Ich schwöre, ich sah einen Artikel über diese in einem Punkt aber kann es nicht finden...

Wie kann ich eine jQuery-ajax-Anfrage vom Typ POST auf einer anderen domain? Muss erreicht werden, ohne einen proxy. Ist das möglich?

  • stimmt, ich ziehe meinen Kommentar 🙂
InformationsquelleAutor Louis W | 2010-10-06
  1. 9

    Ja, Sie können alle Sie wollen, auch $.post() funktioniert...aber werden Sie nicht bekommen eine Antwort zurück.

    Diese Werke, die andere domain wird Holen Sie sich die POST:

    $.post("http://othersite.com/somePage.php", { thing: "value" }, function(data) {
  //data will always be null
});

    Aber die Antwort data im obigen Beispiel den Wert "null" durch die same-origin policy.

    • Wenn ich mit $.post, würde die Anforderung zeigen sich in firebug? Ich versuche es jetzt aber nicht alles sehen.
    • Die Anfrage ja, die Antwort Nein, es ist die Reflexion, was Ihr code wird sehen...eine leere Antwort wegen der SOP.
    • Was Sie senden, btw? Ist es etwas, eine zu BEKOMMEN umgehen kann? Da kann man Durchlaufen, zusätzliche Parameter über die GET-Requests mit JSONP-request...eine Reaktion, die Sie sehen können. Die andere domain hat, diese zu unterstützen, obwohl.
    • Sorry für die Verzögerung zurück zu dir, ich habe einige Tests und kann nicht scheinen, um diese zu arbeiten. Javascript wird die post aber nicht senden alle Felder. Hochgeladen habe ich ein Vereinfachtes Beispiel, wie ich versuche, es hier tun: loui5.com/tmp/js_xss_post. Ich könnte auch hinzufügen, die Anfrage nicht zeigen, bis in firebug aber ich bekomme es (die Seite E-Mails an mich).
    • Könnte dies ein Alter post, aber würde das nicht bedeuten, CSRF ist möglich, wenn die post-Anforderung an den server gesendet, auch wenn Sie nicht bekommen kann die Antwort, eher wie eine fire-and-forget-Angriff?
    InformationsquelleAutor Nick Craver
  2. 3

    Alle Optionen, die ich habe experimentiert mit:

    1) SCHWEINEFLEISCH: http://www.schizofreend.nl/Pork.Iframe/Examples/ Erstellt ein iframe ein und sendet die post da ist, dann liest die Antwort. Weiterhin erfordert die gleiche Basis domain pro
    Anfrage (d.h. http://www.foo.com anfordern können
    Daten aus www2.foo.com aber nicht aus
    http://www.google.com) . Auch erfordert, dass Sie
    fiddle mit den document.domain
    Eigenschaft, die bewirkt, dass unerwünschte Nebeneffekte
    Effekte. Und es gibt ein weit verbreitetes problem in allen gängigen Browsern, wo das Neuladen der Seite im Grunde mischt der zwischengespeicherte Inhalt alle iframes auf der Seite, wenn eine von Ihnen werden dynamisch geschrieben. Deine Antwort-Daten zeigen bis in die box, wo ein ad sein soll.

    2) flxhr: http://flxhr.flensed.com/ Kann auch verwendet werden, um die Maske jQuery built-in ajax, so dass Sie es nicht einmal bemerken. Erfordert flash, also das iPhone ist aus

    3) jsonp: funktioniert nicht, wenn Sie die Buchung eine Menge von Daten. boo.

    4) aufgeteilte jsonp: Wenn Ihr jsonp-Anfrage zu groß ist, brechen Sie die Abfrage-string, die bis in handliche Stücke und senden Sie mehrere Anfragen bekommen. Rekonstruieren Sie auf dem server. Dies ist hilfreich, aber bricht, wenn Sie load balancing Benutzern zwischen Servern.

    5) CORS: http://www.w3.org/TR/cors/ funktioniert nicht in älteren Browsern (IE7, IE6, Firefox 2, etc.)

    Also wir haben derzeit den folgenden Algorithmus:

    • Verlangen, wenn klein genug ist, verwenden JSONP
    • Wenn nicht klein genug, aber der Benutzer hat flash, verwenden Sie FlXHR
    • Sonst die aufgeteilte JSONP

    Verbringen Sie einen Nachmittag schreiben, und Sie werden in der Lage sein, um es für gut. Hinzufügen von CORS zu unseren Algorithmus könnte gut für schnellere iPhone-Unterstützung.

    InformationsquelleAutor Mike Ruhlin
  3. 2

    Wenn man die Kontrolle über den code laufen auf der anderen Domäne, lass es einfach eine entsprechende Access-Control-Allow-Origin - header in der Antwort. Siehe auch HTTP Access Control am MDC.

    • Browser-Unterstützung ist ziemlich begrenzt, für ACAO im moment. Ich würde nicht wollen, es zu benutzen in der wildnis.
    • Die OP hat nur gefragt, ob es möglich sei, ohne einen proxy. Ich antwortete nur, dass. Die OP sweared er sah einen Artikel. Ich habe gedacht, es wurde über Access-Control Header. Unabhängig davon, ist der browser-support ist in fast allen modernen Browsern/updates jünger als 1 Jahr.
    • Lesen Sie auch Wie funktioniert der Zugang-Control-Allow-Origin-header zu arbeiten?
    InformationsquelleAutor BalusC
  4. 0

    Wenn Sie möchten, eine fire-and-forget-POST, wo Sie kümmern sich nicht über die Antwort, dann stellen Sie einfach ein Formular in einem versteckten iframe. Dies erfordert einen Transitional-Doctype-Deklaration.

    <form method="POST" action="http://example.com/" target="name_of_iframe">

    Wenn Sie möchten, analysieren Sie die Antwort, dann verwenden Sie einen proxy, wenn die einzige wirkliche option.

    Wenn Sie verzweifelt und Steuerung der remote-site, dann Sie können:

    1. "Formular senden" wie oben
    2. Ein cookie gesetzt, in der Antwort (die blockiert werden können, bevor der iframe kann bewirken, dass das cookie, um als '3rd party' (D. H. wahrscheinlich Werbe-tracking).
    3. Lange genug warten für die Antwort zurück zu kommen
    4. Erstellt dynamisch ein script-element mit dem src zeigen auf den remote-Standort
    5. Verwenden JSON-P in der Antwort, und nutzen Sie die Daten zuvor in dem cookie gespeichert

    Dieser Ansatz ist, um race-Bedingungen und in der Regel hässlich. Proxing der Daten durch den aktuellen domain ist eine viel besseren Ansatz.

    • Auch dies ist nicht erforderlich, wenn jede der jQuery-POST-ing AJAX-Funktionen zu erreichen, die gleiche Sache ein bisschen einfacher.
    • Diese Funktionen sind, soweit ich weiß, nur ein high-level-wrapper für die Erzeugung eines iframe. Es ist immer nützlich, um zu verstehen, was die Bibliothek tut, so können Sie verstehen, die Grenzen und damit umzugehen, wenn die Dinge schief gehen.
    • Verwenden Sie keinen <iframe> überhaupt, Sie sind mit XmlHttpRequest() die BUCHEN ist nicht gesperrt, nur immer die Antwort ist.
    • Ich bin ehrlich gesagt gespannt, wo die Erzeugung eines <iframe> Idee für was jQuery nicht unter kam, gibt es einen Artikel gibt, dies sage, oder eine Dokumentation, die gibt, die Eindruck?
    • In diesen suchen. Ich erinnere mich auch an die Fähigkeit, fügen Sie ein "onload" - Funktion, um den iframe zu sprechen zurück zu Eltern zu geben, die Inhalte. Nie versucht, du.
    • Eine Annahme, klar ein Falsches
    • Ich wäre nicht überrascht, wenn es ausgelöst wird, wenn der iframe fertig geladen ist, wird es nicht lassen Sie Sie, um den Inhalt, obwohl.

    InformationsquelleAutor Quentin
  5. 0

    Wenn Sie brauchen, um zu wissen, dass der POST erfolgreich war, und haben keine Kontrolle über den remote-server:

                    $.ajax({
                    type:"POST",
                    url:"http://www.somesite.com/submit",
                    data:'firstname=test&lastname=person&[email protected]',
                    complete: function(response){
                        if(response.status == 0 && response.statusText == "success")
                        {
                            /* CORS POST was successful */
                        }
                        else
                        {
                            /* Show error message */
                        }
                    }
                });

    Wenn es ein problem mit dem Beitrag ist, dann response.statusText sollte gleich "error".

    Hinweis: einige remote-Server senden HTTP-header Access-Control-Allow-Origin: *, die in einem 200 OK HTTP-status-code der Antwort. In diesem Fall, ajax führt die success handler, und diese Methode ist nicht erforderlich. Zu sehen an der Reaktion nur tun console.log(JSON.stringify(response)); oder verwenden Sie FireBug s 'Net' panel.

    InformationsquelleAutor Alex W
Schreibe einen Kommentar