Cross Domain XmlHttpRequest

Question

[ShimON]

Добрый день, друзья.

Целый день сегодня мучаюсь с вышеозначенной темой. Изначальная задача:
Выполняясь на site.com отправить POST запрос (даже ответ не обязательно получать) на xxx.site.com. В крайнем случае готов ограничиться браузером Google Chrome.

Казалось бы, задача уже не нова, написана куча материалов на тему, но что-то ничего не срабатывает…

Итак, что я уже попробовал:

1. подменить document.domain перед отправкой. Как оказалось, менять с xxx.site.com на site.com можно, а вот обратно — никак...
2. создать iframe с src=«xxx.site.com», а затем внутри него добавить в дом модель тег script, который будет содержать в себе логику по отправлению XmlHttpRequest. И вот этот вариант уже почти-почти сработал, как по непонятным мне причинам xhr.readystatechange вызывается один раз и readyState=1… Код примерно такой:
   

   var iframe = $('<iframe src=«xxx.site.com» style=«display:none;»></iframe>').appendTo(document.body);
     var iDoc = iframe.get(0).contentDocument;
     var script = iDoc.createElement(«script»);
     script.setAttribute(«type», «text/javascript»);
     script.innerHTML =
         «function postIt() {» +
         «var xhr = new XMLHttpRequest();» +
         «xhr.onreadystatechange = function(data) {» +
             «alert(xhr.readyState);» +
         «if (xhr.readyState == 4) {» +
         "    if (xhr.status == 200) {" +
         "     alert(data.toString());" +
         "    } else {" +
         "     alert(xhr.error);" +
         "    }" +
         "}};" +
   
         «var url = \»xxx.site.com\";" +
   
         «var postParams = \»a=1&b=1\"" +
   
         «xhr.open(\»POST\", url, true);" +
         «xhr.setRequestHeader(\»Content-Type\", \«application/x-www-form-urlencoded;\»);" +
         «xhr.send(postParams);» +
       "}" +
   
       «postIt();»;
   
     iDoc.body.appendChild(script);
   
   * This source code was highlighted with Source Code Highlighter.

   
   
3. Также рассмотрел способ с YQL — не подошло
   

Какие есть еще идеи как это побороть?

Answer 1

[Константин Китманов]

Так вам надо получить ответ или нет?

Если нет задачи обязательно получить ответ, то:

• создаем скрытый ифрейм c атрибутом name=«blahblah»
• ставим форме атрибут target=«blahblah»
• PROFIT!

Comments

[ShimON]

Коллега, вы бог! У меня мозги совсем уже замылились… Спасибо огромное!

[Константин Китманов]

Приятно быть полезным:)

Answer 2

[philpirj]

В чужой iframe писать js никто не даст по политике безопасности.

Для решения проблемы могу посоветовать переделать серверную логику xxx.site.com, чтобы воспринимался GET равно как POST, и использовать JSONP.

Вариант второй можно использовать, если логику xxx.site.com не поправить: сделать у себя на хосте ресурс, на который отправлять POST, и делать HTTP запрос с сервера site.com на сервер xxx.site.com.

Можно ещё попробовать сделать скрытый form, поставить у него action в «xxx.site.com», добавить input'ов с нужными name и value, и выстрелить form submit. Не уверен, что это будет работать везде.

Comments

[ShimON]

Ну как не даст, если я показал, что пишу. Другое дело, что запрос почему-то так и не уходит из этого iframe… Вот бы кто-нибудь рассказал мне в чем фишка. Ведь это же уже почти решение.

[philpirj]

Если бы давал, многие левые сайты бы открывали такие iframe'ы с src=gmail.com, и отправляли бы кукисы на обратно себе через jsonp. Это может работать в кривых браузерах, но на широкое применение расчитывать не стоит. Для проверки можно посмотреть DOM страницы и убедиться, что содержимое xxx.site.com перезаписало поверх весь content.

Попробуйте последний способ, у меня отлично сработало.

Попро

[ShimON]

И вам тоже спасибо. Действительно все лежит на поверхности. Более того, уже даже делал так, но из-за кривых рук отказался от способа :)

Answer 3

[Олег Матрозов]

А вот так пробовали?
habrahabr.ru/blogs/webdev/114432/

Comments

[ShimON]

Не буду по третьему разу уже писать. К сожалению, серверную часть менять не могу…

Answer 4

[ShimON]

Не подходит, к сожалению, т.к. xxx.site.com проверяет Origin, а браузер в Origin ставит site.com

Comments

[Олег Матрозов]

Брррр… погодите, что то вы путаете. По сути ведь без разницы, что ставит браузер, главное что бы сервер по запросу ответил нужным заголовком и не более.

[ShimON]

Тут как раз две фишки. 1. Сервер не отвечает с нужным заголовком. 2. Сервер проверяет Origin на то, что он ровно такой как ему надо.

[Олег Матрозов]

Так на сервера ваш скрипт или нет? Если ваш, так просто отдайте нужный заголовок.

[ShimON]

не мой.

Answer 5

[Serator]

Сам этим не занимался, но на hacks.mozilla.org/2009/07/cross-site-xmlhttprequest-with-cors/ все прекрасно работает (смотрю в Firefox'e 4 beta 12, Chrom'а под рукой не наблюдается). Там есть примеры, которые можно «пощупать». + сатья ( developer.mozilla.org/en/HTTP_access_control ) на MDN (MDC), которая должна помощь в решении вопроса.

Comments

[ShimON]

Очень хороший способ, но ничем не отличается от предыдущего. Необходима переделка на удаленном сервере, чтобы он возвращал правильный заголовок, а такой возможности нет…

Answer 6

[Dzen_Marketing]

Попробуйте способы из этого комментария habrahabr.ru/blogs/webdev/114432/#comment_3692960

Comments

[ShimON]

К сожалению ни GET, ни ограничение на ответ в формате JSON не подходят…

Answer 7

[Макс Кузнецов]

Наверняка, уже изучили, но всё же — javascript.ru/ajax/cross-domain-scripting.

Answer 8

[Анатолий]

Человек выше написал правильно, если нет задачи получить ответ, то можно создать формочку, айфрейм, дать формочке таргет созданный айфрейм, и сделать сабмит.