JavaScript
1 July 2009

Шпаргалка => Cross Domain AJAX. Dynamic script Tag Hack

Так сложилось исторически (из-за соображений безопасности), что Javascript-обьект XMLHttpRequest, который лежит в основе AJAX, не может делать кросс-доменные вызовы. Это бесполезное ограничение: для злоумышленников не представляет особой проблемы, а для разработчиков создает некоторое неудобство. В следующих поколениях браузеров эту проблему обещали решить, но не раньше чем W3C хотя бы одобрит новые стандарты.

Есть море хаков чтобы обойти это ограничение, но самый популярный это Dynamic Script Tag Hack. Именно через этот хак организован доступ к многим API современных веб-приложений.



Суть


XMLHttpRequest не используется вовсе. На странице динамически создается тег и указывается целевой адрес на другом домене. Браузер в фоновом режиме подргузит и исполнит содержание удаленного скрипта. Сам удаленный скрипт передает JSON данные и представляет из себя обычный вызов функции вида:

callback_function(json_data);

Функция `callback_function` должна находиться на странице и быть видна глобально. Она и будет обрабатывать возвращенные в JSON данные. Имя этой callback функции должно быть или же заранее известно как на стороне клиента, так и на стороне сервера, или передано GET параметром, например:

src="http://example.com/api.js.php?callback_func=mycallback"

Соответственно, удаленный скрипт, который выдает JSON данные должен выглядеть приблизительно так

<?php print $_GET['callback_func']. '('. json_encode($somedata). ')'; ?>

«Заключение»


Сам хак очень прост в использовании, тем не менее некоторые девелоперы не могут его понять слёту.
Разбирать JSON данные на клиентской стороне очень удобно. Если нужна дополнительная инфа, вот неплохая статья: An Introduction to JavaScript Object Notation (JSON)

Перенесено из личного блога как только набрал достаточно кармы

+26
5k 87
Comments 33
Top of the day