2006年8月14日

關於 Cross-Domain XHR

XHR 是 XMLHttpRequest 的縮寫,是當前熱門炸子雞 Ajax 的基礎。

目前 XHR 是不允許跨 Domain 進行存取的,這表示我們無法在本地端弄一個『入口』網頁以收集各網站所提供的訊息資料。不只是我,也有人 ( Joe ) 對這個限制覺得非常可惜、厭惡的。

當然也有人 ( Eric ) 對此不以為然,因為那表示任何人都可以撰寫惡意的用戶端描述語言去存取其他網站上的 cookie 等帳戶資料等等的訊息,這是資訊安全中最忌諱的事。

雖然 Eric 說的很清楚,但 Joe 的質疑卻也非毫無道理可言,最多只能說 Joe 的說法就好像因為小偷可以從後門溜進來,所以大門便無須上鎖。話雖如此,但我還是希望能夠有限度開放 XHR 可以跨 Domain 進行資料的讀取,因為… 幹嘛要把所有的事都擠在一台 Web Server 上轉一手哩?