ajax实现垮域访问初探

【 tulaoshi.com - Web开发 】

　　这个应该归到javascript的安全性问题一般服务器A设置的是不允许别的域的机器B执行B上的ajax调用服务器A上的资源原因，可以举个简单的安全隐患例子：
　　假设ajax可以垮域访问，那么我在自己机器上可以写ajax请求Google各类web应用中的资源比如先用firefox研究GMail在登录过程中大量ajax请求的地址以及参数，可以得到用户cookie的验证过程然后写js去跨域获取别的用户的cookie，这样可以绕过用户的GMail密码而登入他人的GMail邮箱

　　那么有了ajax跨域限制，是不是就真的不能做ajax垮域访问了？
　　ajax垮域确实不行，但是我们可以中转实现，也就是所谓的代理
　　原理很简单，在自己的js跟远程服务器A的资源之间架设一个自己的容器
　　可以用asp、php、java、.net等所有可以的动态web语言
　　以asp为例（获取热得快网站某个用户的好友列表，返回xml数据格式）

　　%
　　p = "http://redekuai.com/api/user_friends_xml/funy"
　　Response.BinaryWrite ZQcnGet(p)
　　Response.Flush
　　Function ZQcnGet(url)
　　Set Retrieval = CreateObject("Microsoft.XMLHTTP")
　　With Retrieval
　　.Open "Get", url, False, "", ""
　　.Send
　　ZQcnGet = .ResponseBody
　　End With
　　Set Retrieval = Nothing
　　End Function
　　%
　　这段代码保存为一个proxy.asp，然后放到IIS里，这个时候就可以随便找个机器写js了，用ajax请求proxy.asp，最后相当于实现了ajax垮域访问
　　php的示例代码更简单
　　echo file_get_contents("http://redekuai.com/api/user_friends_xml/funy"");
　　？
　　注：php版本需要= 4.3.0

　　再给个asp.net(C#)版本的示例代码：

　　using System.Net;
　　using System.IO;
　　using System.Text;
　　public partial class ajaxpages: System.Web.UI.Page
　　{
　　    protected void Page_Load(object sender, EventArgs e)
　　    {
　　        WebRequest wr = WebRequest.Create("http://redekuai.com/api/user_friends_xml/funy");
　　        WebResponse wres = wr.GetResponse ();
　　        Encoding resEncoding = System.Text.Encoding.GetEncoding("utf-8");
　　        StreamReader sr = new StreamReader(wres.GetResponseStream(), resEncoding);
　　        string html = sr.ReadToEnd();
　　        Response.Write(html);
　　        sr.Close();
　　        wres.Close();
　　    }
　　}
　　分别为proxy.asp proxy.php proxy.aspx
　　那么做好代理，实现了自己一般机器（非web服务器）上js垮域访问远程网站资源有什么实际的意义呢？
　　要知道，现在的互联网技术已经进入了绝对的Mashup时代
　　老美有2k多个公司靠做facebook的APP存活着，国外的这种产业链真的不能在国内发展吗？要知道5年后互联网也会成为中国的基础设施了
　　已经有做的比较好的web2.0站点在开放API(又拍、热得快)或者准备开放