【转载】Ajax JS 跨域请求

原文：

简单的ajax请求：http://blog.csdn.net/net_lover/article/details/5172509

复杂的ajax请求：http://blog.csdn.net/net_lover/article/details/5172522

什么样的请求算是简单请求呢？简单请求必须满足下面2点：
a，只使用 GET、POST 进行的请求，这里的POST只包括发送给服务器的数据类型（Content-Type）必须是 application/x-www-form-urlencoded、multipart/form-data 或者 text/plain中一个。
b，HTTP 请求没有设置自定义的请求头，如我们常用的 X-JSON。

传统的跨域请求没有好的解决方案，无非就是jsonp和iframe，随着跨域请求的应用越来越多，W3C提供了跨域请求的标准方案（Cross-Origin Resource Sharing）。IE8、Firefox 3.5 及其以后的版本、Chrome浏览器、Safari 4 等已经实现了 Cross-Origin Resource Sharing 规范，实现了跨域请求。
在服务器响应客户端的时候，带上Access-Control-Allow-Origin头信息。

• 如果设置 Access-Control-Allow-Origin:*，则允许所有域名的脚本访问该资源。
• Access-Control-Allow-Origin:http://www.phpddt.com.com,允许特定的域名访问。

Cross-Origin Resource Sharing协议介绍

传统的Ajax请求只能获取在同一个域名下面的资源，但是HTML5打破了这个限制，允许Ajax发起跨域的请求。浏览器是可以发起跨域请求的，比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的，它只能被浏览器执行或渲染。

在Flash和Silverlight中，服务器需要创建一个crossdomain.xml的文件来允许跨域请求。如果这个文件声明“http://your.site”允许来自“http://my.site”的请求，则来自“http://my.site”的请求可以访问所有“http://your.site”的文件。这是一种整个站点层面上的控制模式，要么你允许一个外域的站点访问，要么拒绝。

COR不一样，它是页面层次的控制模式。每一个页面需要返回一个名为‘Access-Control-Allow-Origin’的HTTP头来允许外域的站点访问。你可以仅仅暴露有限的资源和有限的外域站点访问。在COR模式中，访问控制的职责可以放到页面开发者的手中，而不是服务器管理员。当然页面开发者需要写专门的处理代码来允许被外域访问。

另外一个主要的区别是，某个站点的crossdomain.xml文件是最早被浏览器获取并分析的。如果一个外域的站点不允许被访问，浏览器压根就不会发出跨域请求。

COR则相反，Javascript先发出跨域请求，然后检查回复的‘Access-Control-Allow-Origin’头。如果这个头允许该外域访问，则Javascript可以读取这个回复，否则就被禁止访问。如果请求不是一个简单的COR，则向外域服务器发送预检验请求，如果回复的头部允许访问，则发送跨域请求，否则禁止。

COR的实现标准就是CORS协议。

对于浏览器来说，COR请求都是Javascript发起的，COR请求有两种：

1、简单的COR请求，它可以直接向外域资源发起请求。它必须仅仅包含简单的方法和头，具体定义看[2] 6.1。

2、如果COR包含复杂的方法和头，它需要发出预检验（Preflight）请求，它先向资源服务器发出一个OPTIONS方法、包含“Origin”头的请求。该回复可以控制COR请求的方法，HTTP头以及验证等信息。只有该请求获得允许以后，才会发起真实的外域请求。