关于浏览器对于html的input标签中name的命名特殊字符处理(GET)与script+js跨域实现

因为想使用script来跨域GET提交数据回调,为了尽量的少改动,想到使用php的ob_start();这样的方式来缓存输出到变量中再进行jscall,即可解决可控网站的跨域问题,
不用重复实现,且性能上比服务类代理好得多.
然后想到应该使用某些不常用的命名来使用传递必须的数据,如post变get时,使用某特殊命名来传递之类考虑,于是看了一下这个问题.


http://www.w3.org/TR/html401/types.html#type-cdata中的规范规定是如下:

 ID and NAME tokens must begin with a letter ([A-Za-z]) and may be followed by any number of letters, digits ([0-9]), hyphens ("-"), underscores ("_"), colons (":"), and periods (".").

浏览器实测:

chrome

firefox

ie

op

看来标准中提到的写法还是都支持的.

实现的关键文件

jsCallBack.php

<?php
/*
 * 使用script标签的js回调的方式调用
 * 因为需要js配合GET方式来使用,所以使用特殊的get时的命名,如post转get时
 * name格式是[A-Za-z]开头,同时允许[0-9],"_","-",":"
 * f:=要运行php名字&c:=jsCallBack名字&p:其它字符=含有此前缀的变量都将转成POST变量,并删除get中的变量
 * 在source\class\helper\helper_form.php中来源检查
 */
header('Content-Type: text/html; charset=UTF-8');
define('DX_ROOT', str_replace("\\", '/', dirname(__FILE__)).'/');
$phps = array('forum', 'group', 'home', 'index', 'member', 'misc');//允许使用的php文件    
if (empty($_GET['f:']) or !in_array($_GET['f:'], $phps)) exit('alert("xxx.php?f:=the_php_file_name or no allow");');
if (empty($_GET['c:'])) exit('alert("xxx.php?c:=js_call_back_func_handled");');
require_once (DX_ROOT."/chrd.func.php");
if (!myDomain()) exit('alert("don\'t allow");');//只允许同根域名提交,不允许外站提交
unset($_SERVER['HTTP_REFERER']);//已经校验过,如果给dx检验,只允许同子域,所以清空
$_SERVER['REQUEST_METHOD'] = 'POST';//防止不允许GET;

foreach ($_GET as $key => & $val) {
	if (0 == (strncasecmp('p:', $key, 2))) {//处理post2get
		$_POST[substr($key, 2)] = $val;//注意传入时,会移除p:
	}
}

echo $_GET['c:'];//测试中发现无法此值放入create_function体内,总会自动变成null,而其它$_GET值却不会,奇怪,没细查
ob_start(create_function('$buf', 'return "(" .json_encode($buf). ");";'));
require (DX_ROOT."{$_GET['f:']}.php");
ob_end_clean();

某js

_.gJson({//dx/source/function/function_core.php中的submitcheck方法,允许flash提交
        url:forumUrl + 'jsCallBack.php?f:=forum&mod=post&action=reply&replysubmit=yes&infloat=yes&handlekey=fastpost&inajax=1'
        ,data:{//以下值需要post方式提交,所以,使用特殊方式
            'p:formhash':_.dxFormHash //form的hash值
            ,'p:message':_('answerMsg').value
            ,'p:seccodeverify':_('answerVerify').value //验证输入
            ,'p:sechash':_.dxCodeHash //验证hash值
            ,'p:subject':''
            ,'p:fid' : _('answerFid').value 
            , 'p:tid' : _('answerTid').value
        }
        ,fVar:'c:'//jscallback名字,gjson会自动生成一个全局的function句柄
        ,func:function(data) {	//jscallback 实现
			data = data.match(/<script[^>]*>(.+?)<\/script>/);
			var hideWindow = function(){};
			var showDialog = function(txt){_.showMaskDiv({htm:txt });};
			var succeedhandle_fastpost = function (url, tip, obj) {//dx发送成功的接口		
                    //('forum.php?mod=viewthread&tid=39&pid=121&page=1&extra=page%3D1#pid121', '非常感谢，回复发布成功，现在将转入主题页，请稍候……[ 点击这里转入主题列表 ]', {'fid':'2','tid':'39','pid':'121','from':'','sechash':'SU01yqk0'});
                        
				_.showMaskDiv({htm:'<a href="' +forumUrl+url+ '">'+ tip+'</a>', bind:{id:'answerSubmit'}});
				var div = document.createElement('P');
				div.innerHTML = _('answerMsg').value ;
				_('answerInsert').appendChild(div);
				_('answerReset').click();
			}
			var errorhandle_comment = function (tip) {//dx发送失败的接口
				_.showMaskDiv({htm:'发送失败<br/>' + tip});
			}
			if (!data) return showDialog('提交完成');
			try{eval(data[1]);}catch(e){showDialog('解析返回信息出错:<br/>' + (e.description ? e.description : e));} 		          
        }
    });

以上二个文件配合下,就可以向discuz进行跨提交而无需再修改dx的返回方式,

script 的src大概是如下

http://bbs.qidizi.net/jsCallBack.php?f:=forum&mod=post&action=reply&comment=yes&page=1&commentsubmit=yes&infloat=yes&inajax=1&&p:formhash=d9546afe&p:handlekey=comment&p:message=dddddddddddddddddddddddddddddd&p:seccodeverify=dddddddddddddddddddddddddddddddddd&p:sechash=0&p:tid=720564&p:pid=3370691&c:=_gJson21364554034648

那么返回就是正常的js了

_gJson21364554034648("<?xml version=\"1.0\" encoding=\"utf-8\"?>\r\n<root><![CDATA[<script type=\"text\/javascript\" reload=\"1\">if(typeof succeedhandle_comment=='function') {succeedhandle_comment('forum.php?mod=viewthread&tid=720564&pid=3370691&page=1&extra=#pid3370691', '\u5e16\u5b50\u70b9\u8bc4\u6210\u529f ', {'tid':'720564','pid':'3370691'});}<\/script>]]><\/root>");

这样,只要在discuz目录下旋转一个jsCallBack.php文件

然后就可以在其它地方使用script方式伪ajax了.