12
Wie macht Google API domainübergreifende Anfragen zurück zu Google, wenn es auf Ihrer Website ist?Wie geht Google JavaScript-API um die domänenübergreifende Sicherheit in AJAX
A
Antwort
1
AFAIK sie verwenden IFRAMEs.
11
Sie umgehen es, indem Sie Skript-Tags dynamisch in den Kopf des Dokuments injizieren. Das Javascript, das über diese Injektion gesendet wird, enthält eine Callback-Funktion, die das Skript auf der geladenen Seite und die Nutzdaten (Daten) angibt.
Das Skript kann dann das dynamisch eingefügte Skript-Tag entfernen und fortfahren.
0
Eine andere Möglichkeit ist es, die window.name Transport zu verwenden, wie für den Dojo Framework beschrieben here
4
Die akzeptierte Antwort ist falsch. Ben hat Recht. Unten ist der tatsächliche Iframe-Knoten, der mit Hilfe der Google API JavaScript Client von einer Seite gezogen wurde.
<iframe name="oauth2relay678" id="oauth2relay678"
src="https://accounts.google.com/o/oauth2/postmessageRelay?
parent=https%3A%2F%2Fwww.example.com.au#rpctoken=12345&forcesecure=1"
style="width: 1px; height: 1px; position: absolute; left: -100px;">
</iframe>
Grund Zusammenfassung, wie das funktioniert, ist hier: http://ternarylabs.com/2011/03/27/secure-cross-domain-iframe-communication/. In modernen Browsern verwenden sie HTML postMessage, um Kommunikation zu erreichen, und in älteren Browsern verwenden sie einen sauberen Multiple-iframe-urlhash-read + write-combination-Hack. Ternary Labs haben eine library gemacht, die alle Hacky-Sachen abstrahiert und Ihnen im Grunde postMessage auf allen Browsern gibt.
Eines Tages wurde ich ontop dieser Bibliothek bauen werden Cross-Domain-REST-APIs zu vereinfachen ...
Edit: An diesem Tag ist gekommen und XDomain ist hier - https://github.com/jpillora/xdomain
0
Sieht aus wie Google Display-Karten verwenden die <img> tag Ich denke, sie verwenden die JavaScrit-Bibliothek, um alle Koordinaten und andere Parameter der src URL zu erarbeiten, dann fügen Sie die < Tags (zusammen mit einer Million anderer Tags) in Ihr DOM.
Die vollständige Karte unten mit mehreren Scheiben, wie die HTML aufgebaut:
< img src = "https://mts1.google.com/vt/[email protected] & hl = en & src = app & x = 32741 & s = & y = 21991 & z = 16 & scale = 1,100000023841858 & s = Galile "class = "CSS-3D-layer" style =" position: absolute; left: 573px; top: 266px; width: 128px; Höhe: 128px; Rahmen: 0px; Auffüllung: 0px; Rand: 0px; " >
(Sie können diesen HTML-Code in Ihre eigene Webseite einfügen um das Ergebnis zu sehen)
So Google Maps nicht verwendet AJAX oder etwas zu bekommen ihre Karten einfach nur Bilder, on the fly erstellt. Also keine Cross-Domain-Probleme zu kümmern ...
Verwandte Themen
- 1. domänenübergreifende AJAX fordert
- 2. Ajax Highscores Sicherheit
- 3. Ajax Sicherheit in Javascript-Spiele
- 4. AJAX: Einseitige Anwendungsstruktur/Sicherheit
- 5. Ajax im Frühjahr Sicherheit
- 6. Sicherheit von AJAX-Anfragen
- 7. Wie funktioniert die domänenübergreifende Kommunikation zwischen JavaScript und Flash?
- 8. Multi Ajax Anfrage und Sicherheit
- 9. Wie geht Google mit der Indexierung von Inhalten um, wenn die Verlaufs-API beteiligt ist?
- 10. Mehrsprachige Website, wie geht man damit um?
- 11. domänenübergreifende AJAX-Request seltsam auf Android-Handy nativen Browser verhalten
- 12. Google Chrome Frame - wie geht das?
- 13. Domänenübergreifende Anmeldung in ASP.NET-Website
- 14. Nested iframe domänenübergreifende Kommunikation
- 15. OpenCV - Wie geht es mit Farbprofilen um?
- 16. Wie geht Gettext mit dynamischen Inhalten um?
- 17. Wie geht man mit ZMQ-Sockeln um?
- 18. Wie geht Quartz mit der Texturkomprimierung um?
- 19. Wie geht Facebook mit Textüberlauf um?
- 20. So stellen Sie eine domänenübergreifende Anfrage her
- 21. Wie geht JSPM mit CSS-Dateien um?
- 22. Wie geht Akka mit Nachrichtenversionen um?
- 23. Login/Session Cookies, Ajax und Sicherheit
- 24. Wie geht spark mit ungleicher Knotenleistung um?
- 25. Wie geht Hibernate mit Blob um?
- 26. Wie geht Mercurial mit gespaltenen Dateien um?
- 27. Wie geht Python mit der Speicherzuordnung um?
- 28. Wie Animation Beschleunigung, wenn es geht um
- 29. Wie konfiguriere ich die AJAX-Anrufverfolgung in Google Analytics?
- 30. Wie geht Django mit Namenskonflikten um?
Ich stimme dir zu. Google sollte etwas Ähnliches verwenden, da sie einen Post-zu-ihrem-Kalender-Dienst verwenden, der die Javascript-Bibliothek verwendet, die in JSONp nicht möglich ist. +1 – Ramesh
Sie können jedoch keine Daten von einem domainübergreifenden Iframe abrufen - Sie können Daten hochladen, aber Sie können kein Ergebnis sehen. Da Sie GET-Argumente mit jsonp verwenden können, die Ihnen erlauben, das Gleiche wie Post zu senden (außer Dateien oder _groge_ Mengen von Daten), verwenden sie fast sicher keine iframes. – tobyodavies
iframes sind die 2. dümmste Erfindung aller Zeiten. –