Как правильно сделать кросс-доменный редирект в AJAX-запросе?

Question

[mayorovp]

Используется следующий сценарий.

1. Пользователь запрашивает страницу _http://example.com/

2. Страница содержит скрипт, делающий запрос на _http://example.com/foo

3. Обработчик _http://example.com/foo делает редирект на _http://localhost:9600/bar



Далее по плану — long pooling и обратный редирект, но до этого даже не доходит — сразу после редиректа на _http://localhost:9600/bar AJAX-запрос завершается с ошибкой, в инспекторе у запроса виден статус CANCELLED, на странице chrome://net-internals/#events видно, что запрос завершился из-за события URL_REQUEST_BLOCKED_ON_DELEGATE с пометкой CANCELLED.



Сначала помогло выставление параметра crossDomain у запроса и выдача заголовка Access-Control-Allow-Origin: * на стороне локального сервера, но потом проблема неожиданно вернулась.



Запуск браузера с параметром --disable-web-security помог, но очевидно, что это — временное решение. Поэтому у меня вопрос: какая из фич, входящих в состав web security, блокирует данный редирект, и как можно ее обойти? Оба сервера — мои, есть полный доступ к заголовкам и файлам в корне.



И, если на первый вопрос никто не знает ответа, то второй вопрос: какие вообще фичи входят в состав web security и где можно увидеть их список?

Comments

[Eddy_Em]

А не проще ли сделать _http://example.com/foo CGI-скриптом, который откроет сокет, соединится с _http://localhost:9600/bar и перенаправит результат клиенту?
Сам сталкивался с проблемами XSS, понял, что это совершенно не кроссбраузерное решение: работает по-человечески лишь в огнелисе, в хромом с костылями, в ēпере не работает. А вот подмена XSS на проксирование сервером вполне работает.

[mayorovp]

Eddy_Em, не проще — ведь адрес того самого локалхоста могут и подменить. В списке запасных вариантов — ActiveX, но я хотел бы добить этот.

[mayorovp]

PS а еще может стоять NAT и обратно соединиться будет в принципе невозможно.

[mayorovp]

UPD: запрос завершается с ошибкой сразу после редиректа на _http://localhost:9600/bar, при этом запрос на _http://localhost:9600/bar даже не посылается.

[mayorovp]

UPD: в огнелисе и опере — та же самая история. Редирект работает только в IE…

Answer 1

[mayorovp]

Длительное изучение проблемы показало, что запрос, начавшийся как внутридоменный, не может иметь кросс-доменного "продолжения" в принципе.

Проблему решил стандартно - отдавая редирект в ответе, и генерируя после этого новый запрос.

Answer 2

[Aleks_ja]

Попробуйте через JSONP

Comments

[mayorovp]

Не получится ли эффекта, когда в иконке окна будет отображаться бесконечная загрузка? Я ведь long pooling делаю…

[Aleks_ja]

Нет, long polling может идти через Jsonp без проблем.

Answer 3

[Eugene Obrezkov]

Можешь просто JSON тоже использовать. Только тогда нужно в header, который принимает данные, прописать разрешение на это дело:

Access-Control-Allow-Origin: *

Comments

[mayorovp]

Спасибо, кэп, но было бы неплохо, если бы вы прочитали мой вопрос полностью, особенно третий абзац.

[Alexander]

Как вариант добавить ещё аналог habrahabr.ru/crossdomain.xml

[mayorovp]

syschel, это же — для флэша, разве нет?

[Alexander]

mayorovp
Да, вы правы. Извините, совсем вылетело из головы про флеш.

Answer 4

[rozhik]

В ответе установите заголовки
Access-Control-Allow-Origin: _http://example.com/
Access-Control-Allow-Methods: GET, OPTIONS
И почитайте это

Comments

[mayorovp]

Спасибо за заголовок Access-Control-Allow-Methods, я как-то про него позабыл, но GET-запрос вроде бы тоже падал (я еще спрошу у нашего веб-программиста, проверил ли он этот случай).

[mayorovp]

rozhik, эти заголовки не помогают, поскольку браузер даже не делает того запроса, на который они могли бы быть посланы в ответ. Нет ли еще идей?

[rozhik]

Значит ошибка до. Давайте урл. У меня подобный пример работает в хроме и мозиле.

[mayorovp]

Эм… _http://localhost:2882/Auth/BeginTerminalLogon?cached=true
Завтра смогу дать вам код контроллера и даже ответ от сервера, который он генерирует.

[rozhik]

Ладно. шттп://локалхост действительно много что мне помогло. Даже не знаю что ответить.

[tnz]

Вполне вероятно, что до GET запроса браузер делает запрос OPTIONS и смотрит заголовок ответа Allow-Origin.

[mayorovp]

tnz, я бы попросил читать то, что я пишу. Браузер не делает никаких дополнительных запросов, а сразу возвращает скрипту ошибку. Я это проверял через инструменты разработчика, через net-internals и через fiddler.

Answer 5

[tnz]

Как на счет скрытого айфрейма с postMessage прокси в основной фрейм? Есть даже готовые либы.