XMLHttpRequest(XHR)是一个API对象,其中的方法可以用来在浏览器和服务器端传输数据。这个对象是浏览器的js环境提供的。从XHR获取数据的目的是为了持续修改一个加载过的页面,XHR是Ajax设计的底层概念。XHR使用的协议不同于HTTP,不仅可以使用XML格式的数据,也支持JSON,HTML或者纯文本。
WHATWG组织负责维护一个动态的XHR标准文档。W3C基于WHATWG标准创建了一个固定的规范。
历史
XMLHttpRequest对象背后的概念最开始是被微软Outlook Web Access工作组为Microsoft Exchange Server 2000提出的。一个IXMLHTTPRequest接口被开发出来,第二代的MSXML库实现了这个概念。1999年的发布的IE5使用了第二代的MSXML库,通过ActiveX访问IXMLHTTPRequest接口,这个接口在MSXML中通过XMLHTTP包装。
IE5,IE6没有在他们的脚本语言中定义XMLHttpRequest对象的标识符,当时IE5,IE6发布时,XMLHttpRequest标识符本身还不是一个标准。如果XMLHttpRequest标识符不存在,通过对象检测可以获得向后兼容性。微软在2006年发布的IE7时,定义了XMLHttpRequest对象标识符。
Mozilla项目组为Gecko布局引擎开发实现的接口称为nsIXMLHttpRequest。这个接口被建模成尽可能的接近微软的IXMLHTTPRequest接口。Mozilla通过js对象为这个接口创建了一个包装器称为XMLHttpRequest。XMLHttpRequest首次可用是在2000年12月6号发布的Gecko 0.6版本中,但是还不是全功能版本直到2002年6月5号发布的1.0版本的Gecko。XMLHttpRequest对象在其他主要的web客户端中变成了一个事实标准,在2004年2月发布得Safari 1.2版本,2005年4月发布的Konqueror,Opera8.0版本,2005年9月发布的iCab 3.0b352版本中都实现了这个对象。
随着跨浏览器JS库(例如jQuery)流行,开发者再调用XMLHttpRequest功能时不用再直接接触底层API。
标准
W3C在2006年4月5号发布了一个关于XMLHttpRequest对象的工作草案规范,起草人是Opera的Anne van Kesteren和W3C的Dean Jackson。它的目标是“基于现有的实现,文档化一个最小的可以互相协作的特性,以便web开发者可以不用编写特定平台代码来使用这些特性”。
W3C在2008年2月25号又发布了另一个关于XMLHttpRequest对象的工作草案,称为"XMLHttpRequest Level 2"。这个版本的XMLHttpRequest包括了XMLHttpRequest对象的扩展功能,例如事件处理,支持跨域请求,支持处理字节流。2011年底,这个规范被遗弃了,其中的内容收录在原始的规范中。
在2012年底,WHATWG接管了这个事情,并且用Web IDL定义了一个标准。W3C目前的草案就是基于WHATWG标准创建的。
HTTP请求
下面的章节展示了符合W3C工作草案标准的用户代理如何使用XMLHttpRequest对象功能发起http请求。因为W3C关于XMLHttpRequest对象的标准仍然是一个草案,所以用户代理可能没有完全实现草案规定的功能,也就是下面的这些是有可能变化的。当使用XMLHttpRequest对象的脚本跨用户代理使用时,要考虑下这种影响。本文将试着列出主要的用户代理之间不一致的地方。
open方法
XMLHttpRequest对象的HTTP和HTTPS请求必须通过opent方法初始化。这个方法必须在实际发送请求之前调用,以用来验证请求方法,URL以及用户信息。这个方法不能确保URL存在或者用户信息必须正确。初始化请求可以接受5个参数,
open( Method, URL, Asynchronous, UserName, Password )
第一个参数是一个字符串值标识HTTP的请求方法。请求方法必须是用户代理支持的方法以及W3C的XMLHttpRequest对象草案规定的方法,如下:
- GET (IE7+,Mozilla 1+)
- POST (IE7+,Mozilla 1+)
- HEAD (IE7+)
- PUT
- DELETE
- OPTIONS (IE7+)
然而请求方法并不限于以上列出的这些。W3C草案声明浏览器可以自行决定支持的请求方法。
第二个参数也是一个字符串值,标示请求的URL。W3C推荐当有跨域请求时,浏览器应该报个错误。
第三个参数是一个布尔值类型,标示请求是否是异步的,在W3C草案中并不是一个必须参数。如果没有提供,符合W3C规范的用户代理应该默认为true。异步请求("true")不会等待服务器响应在继续执行其他脚本之前,可以调用XMLHttpRequest对象的onreadystatechange事件监听器来获取请求的不同状态。一个同步的请求("false")会阻塞js执行直到请求完成,这时就没必要调用onreadystatechange事件监听器。
第四个和第五个参数分别是用户名和密码。这些参数是服务端为了验证请求使用的。
var xmlhttp;
if (window.XMLHttpRequest) {
xmlhttp = new XMLHttpRequest();
xmlhttp.open("GET", filepath , false);
xmlhttp.send(null);
}
sendRequestHeader方法
在成功初始化请求之后,XMLHttpRequest对象的setRequestHeader方法可以用来设置请求头。
setRequestHeader( Name, Value )
第一个参数是header的字符串名称,第二个参数是字符串值。如果请求需要多个header,这个方法就要被调用多次。这个方法附加的请求头,在下次open方法调用时会被清空。
send方法
XMLHttpRequest对象的send方法用来发送请求,这个方法接收一个参数,这个参数就是要发送的内容。
send(Data)
如果不需要发送内容,这个参数可以省略。W3C草案声明这个参数可以是任意类型的值只要能被js转成字符串,除了DOM对象。如果用户代理无法序列化这个参数,这个参数会被忽略。Firefox3.0.x以及之前版本在send方法没传参数时会抛出异常。
如果参数是DOM对象,用户代理应该确保文档已经被转成XML格式,通过文档对象的inputEncoding属性编码。如果请求头的Content-Type还没有通过setRequestHeader方法设置,用户代理应该自动的增加一个值"application/xml;charset=charset",其中的charset应该是用来编码文档的编码格式。
如果用户代理被配置成使用代理服务器,XMLHttpRequest对象应该适当修改请求连接代理而不是源服务器,发送Proxy-Authorization头配置。
onreadystatechange事件监听器
如果XMLHttpRequest对象的send方法第三个参数是true,也就是发送了异步请求,onreadystatechange事件监听器将自动在XMLHttpRequest对象的readyState属性改变时被触发。
状态改变过程如下:
- 当
open方法被成功调用,readyState属性被置为1(OPEND) - 当
send方法被调用,成功接收到HTTP响应头,readyState属性被置为2(HEADERS_RECEIVED) - 一旦HTTP响应内容开始加载,
readyState属性被置为3(LOADING) - 一旦HTTP响应内容结束加载,
readyState属性被置为4(DONE)
当监听器被定义之后,每次状态改变时都会触发。为了检测状态1和状态2,监听器必须在open方法调用前调用。open方法必须在send方法调用前调用。
var request = new XMLHttpRequest();
request.onreadystatechange = function () {
var DONE = this.DONE || 4;
if (this.readyState === DONE){
alert(this.readyState);
}
};
request.open('GET', 'somepage.xml', true);
request.setRequestHeader('X-Requested-With', 'XMLHttpRequest');
request.send(null);
abort方法
如果XMLHttpRequest对象的readyState属性还没有变成4,这个方法可以终止请求。这个方法可以确保异步请求中的回调不被执行。
abort()
一些AJAX库使用abort方法来取消潜在重复请求以及无序请求。
HTTP响应
当成功调用XMLHttpRequest对象的send方法之后,如果服务端响应式格式正确的XML,并且已经把Content-Type头设置成用户代理支持的XML类型,XMLHttpRequest对象的responseXML属性将会包含一个DOM文档对象。另外一个属性responseText将会包含服务端返回的文本类型,而不管它是否被理解为XML。
跨域请求
早起的web开发中,通过使用js在一个web站点和另一个不安全的站点交换信息的方式,很容易突破用户的安全防线。因此所有的现代浏览器实现了一个同源策略来阻止类似攻击,例如跨站脚本。XMLHttpRequest数据也受这种安全策略支配,但是有时web开发想有意的规避这种限制。因为有时需要合法使用子域,例如在foo.example.com域上的页面发送XMLHttpRequest请求获取bar.example.com域上的数据通常会失败。
存在各种规避这种安全策略的方法,例如可以使用JSONP,跨域资源共享(CORS),或者flash,silverlight插件。跨域XMLHttpRequest请求在W3C的XMLHttpRequest Level 2规范中有提及。IE10+才支持CORS。IE8,IE9提供类似功能的XDomainRequest API。
CORS协议也有几点限制,支持两种模式。简单模式不允许设置自定义头并且忽略cookie,只支持HEAD,GET,POST请求方法,其中POST方法只允许"text/plain","application/x-www-urlencoded","multipart/form-data"的MIME类型,最初支持的只有"text/plain"类型。另一个模式检测何时请求复杂特性之一,然后给服务端发送一个请求确认来协商特性。
3232
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
