大家都知道Ajax并非一种新的技术,而是几种原有技术的结合体。它由下列技术组合而成。
1、使用CSS和XHTML来表示。 2、使用DOM模型来交互和动态显示。 3、使用XMLHttpRequest来和服务器进行异步通信。 4、使用JavaScript来绑定和调用。
在上面几中技术中,除了XmlHttpRequest对象以外,其它所有的技术都是基于web标准并且已经得到了广泛使用的,XMLHttpRequest虽然目前还没有被W3C所采纳,但是它已经是一个事实的标准,因为目前几乎所有的主流浏览器都支持它。
一、Ajax原理和XmlHttpRequest对象
Ajax的原理简单来说通过XmlHttpRequest对象来向服务器发异步请求,从服务器获得数据,然后用JavaScript来操作DOM而更新页面。这其中最关键的一步就是从服务器获得请求数据。要清楚这个过程和原理,我们必须对XMLHttpRequest有所了解。
XMLHttpRequest是Ajax的核心机制,它是在IE5中首先引入的,是一种支持异步请求的技术。简单的说,也就是JavaScript可以及时向服务器提出请求和处理响应,而不阻塞用户,达到无刷新的效果。
所以我们先从XMLHttpRequest讲起,来看看它的工作原理。
首先,我们先来看看XMLHttpRequest这个对象的属性。它的属性有:
onreadystatechange 每次状态改变所触发事件的事件处理程序; responseText 从服务器进程返回数据的字符串形式; responseXML 从服务器进程返回的DOM兼容的文档数据对象; status 从服务器返回的数字代码,比如常见的404(未找到)和200(已就绪); status Text 伴随状态码的字符串信息; readyState 对象状态值: 0(未初始化)对象已建立,但是尚未初始化(尚未调用open方法) 1(初始化)对象已建立,尚未调用send方法 2(发送数据)send方法已调用,但是当前的状态及http头未知 3(数据传送中)已接收部分数据,因为响应及http头不全,这时通过responseBody和responseText获取部分数据会出现错误, 4(完成)数据接收完毕,此时可以通过通过responseXml和responseText获取完整的回应数据。
二、Ajax原生实现
第一步,创建XHR对象
var xhr = new XMLHttpRequest();
此方法兼容IE7+,针对IE6需要使用:
new ActiveXObject("Microsoft.XMLHTTP");
第二步,准备请求
xhr.open("get","/testajax",false);
参数分别为:请求类型 、url、是否异步。
第三步,发送请求
get请求的话就是xhr.send(null),send需要一个参数,因为get请求中参数会在url中,所以这里写null(之所以写null是因为不写的话在某些浏览器会有问题)。
如果是post请求,那么这里面就写post请求需要的参数。但是首先需要设置content-type,例如:
xhr.setRequestHeader("Content-type","application/x-www-form-urlencoded");
然后发送数据
xhr.send("fname=Bill&lname=Gates");
第四步,请求发出去后,服务器响应的内容会自动填充到xhr对象的属性上
有这些属性:
- responseText 返回的文本
- responseXML 如果content-type为”text/xml’或者”application/xml”就把数据放这个属性
- status HTTP状态码
- statusText 状态说明
第五步、根据status检查请求状态
if((xhr.status >= 200 && xhr.status < 300) || xhr.status == 304){
alert(xhr.responseText)
}else{}
无论类型是什么,响应主题内容都会保存在responseText属性中。
对于非xml格式数据而言,responseXML为null。
第六步,如果是异步请求,那么需要监听readyState来判断请求的状态
通过onreadystatuschange事件判断readyState的值:
xhr.onreadystatechange = function(){
if(xhr.readyState == 4){
console.log("success")
}
};
其他注意点:
- setRequestHeader 用来设置头信息
- getResponseHeader 得到响应头信息
- getAllResponseHeaders 得到全部响应头信息
get请求中,对参数使用encodeURIComponent方法。
post请求中,设置content-type,参数序列化传入,格式和get请求一样。
如果不设置content-type,那么后台就必须从raw request header中去得到参数。
三、Ajax的优点
1、最大的一点是页面无刷新,在页面内与服务器通信,给用户的体验非常好。
2、使用异步方式与服务器通信,不需要打断用户的操作,具有更加迅速的响应能力。
3、可以把以前一些服务器负担的工作转嫁到客户端,利用客户端闲置的能力来处理,减轻服务器和带宽的负担,节约空间和宽带租用成本。并且减轻服务器的负担,Ajax的原则是“按需取数据”,可以最大程度的减少冗余请求,和响应对服务器造成的负担。
4、基于标准化的并被广泛支持的技术,不需要下载插件或者小程序。
四、Ajax的缺点
1、Ajax干掉了back按钮,即对浏览器后退机制的破坏。后退按钮是一个标准的web站点的重要功能,但是它没法和js进行很好的合作。这是Ajax所带来的一个比较严重的问题,因为用户往往是希望能够通过后退来取消前一次操作的。那么对于这个问题有没有办法?答案是肯定的,用过Gmail的知道,Gmail下面采用的Ajax技术解决了这个问题,在Gmail下面是可以后退的,但是,它也并不能改变Ajax的机制,它只是采用的一个比较笨但是有效的办法,即用户单击后退按钮访问历史记录时,通过创建或使用一个隐藏的IFRAME来重现页面上的变更。(例如,当用户在Google Maps中单击后退时,它在一个隐藏的IFRAME中进行搜索,然后将搜索结果反映到Ajax元素上,以便将应用程序状态恢复到当时的状态)
但是,虽然说这个问题是可以解决的,但是它所带来的开发成本是非常高的,和Ajax框架所要求的快速开发是相背离的。这是Ajax所带来的一个非常严重的问题。
2、安全问题
技术同时也对IT企业带来了新的安全威胁,Ajax技术就如同对企业数据建立了一个直接通道。这使得开发者在不经意间会暴露比以前更多的数据和服务器逻辑。Ajax的逻辑可以对客户端的安全扫描技术隐藏起来,允许黑客从远端服务器上建立新的攻击。还有Ajax也难以避免一些已知的安全弱点,诸如跨站点脚步攻击、sql注入攻击和基于credentials的安全漏洞等。
4、破坏了程序的异常机制。至少从目前看来,像ajax.dll,ajaxpro.dll这些Ajax框架是会破坏程序的异常机制的。关于这个问题,我曾经在开发过程中遇到过,但是查了一下网上几乎没有相关的介绍。后来我自己做了一次试验,分别采用Ajax和传统的form提交的模式来删除一条数据……给我们的调试带来了很大的困难。
5、另外,像其他方面的一些问题,比如说违背了url和资源定位的初衷。例如,我给你一个URL地址,如果采用了Ajax技术,也许你在该URL地址下面看到的和我在这个URL地址下看到的内容是不同的。这个和资源定位的初衷是相背离的。
6、一些手持设备(如手机、PDA等)现在还不能很好的支持Ajax,比如说我们在手机的浏览器上打开采用Ajax技术的网站时,它目前是不支持的,当然,这个问题和我们没太多关系。
五、CORS实现ajax的跨域访问
1、标准的实现
首先,先发送一个跨域ajax请求(这里可以检测是否支持CORS,通过新建一个xhr对象,检测xhr2中的属性是否存在在这个对象来实现)。然后,普通情况下,我们肯定会发现控制台报错,类似无法访问跨域资源这种错误。这时需要服务器设置:
Access-Control-Allow-Origin:* 代表所有域名都可以访问到
Access-Control-Allow-Origin: http://www.cnblogs.com 限定了域名
请求和响应均不包含cookie信息。
2、IE的实现
通过XDomainRequest()来实现。直接改变contenttype属性来实现post请求:
xdr.contentType= "";
不能发送同步请求。
3、自定义头部
在CORS中是不支持的,但是有固定接口可以设置的头部来传输信息。
4、带凭证的请求(cookie、ssl等)
客服端通过withCredentials设置为true来实现,服务器返回相应的头部来确认即可。
