Ajax
一 概述
对于web应用程序,用户浏览器发送请求,服务器接收并处理请求,然后返回结果,往往返回就是字符串(HTML),浏览器将字符串(HTML)渲染并显示浏览器上。
客户端是怎么向服务端发送数据的呢?
1.1 传统方式
- GET:地址栏、a标签、Form表单
- POST:Form表单
通过以上方式,一个简单操作需要重新加载全局数据。
1.2 Ajax
AJAX,Asynchronous JavaScript and XML (异步的JavaScript和XML),一种创建交互式网页应用的网页开发技术方案。
- 异步的JavaScript
使用JavaScript语言以及相关浏览器提供类库的功能向服务端发送请求,当服务端处理完请求之后,自动执行某个JavaScript的回调函数。
PS:以上请求和响应的整个过程是偷偷进行的,页面上无任何感知。 - XML
XML是一种标记语言,是Ajax在和后台交互时传输数据的格式之一
同步交互与异步交互
- 同步交互:客户端发出一个请求后,需要等待服务器响应结束后,才能发出第二个请求;
- 异步交互:客户端发出一个请求后,无需等待服务器响应结束,就可以发出第二个请求。
Ajax的特点:
- 异步交互:当请求发出后,浏览器还可以进行其他操作,无需等待服务器的响应
- 局部刷新: 整个过程中页面没有刷新,只是刷新页面中的局部位置而已(服务器相应内容为页面中的局部),性能高
Ajax的应用场景:
- 注册时,输入用户名自动检测用户是否已经存在
- 登陆时,提示用户名密码错误
- 删除数据行时,将行ID发送到后台,后台在数据库中删除,数据库删除成功后,在页面DOM中将数据行也删除
举一个简单的例子:
当我们在百度搜索框中输入一个“数据”后,会马上出现一个下拉列表!列表中显示的是包含该数据的4个关键词。
其实这就使用了AJAX技术!当搜索框发生了输入变化时,浏览器会使用AJAX技术向服务器发送一个请求,查询包含该数据的前4个关键词,然后服务器会把查询到的结果响应给浏览器,最后浏览器把这4个关键字显示在下拉列表中。
- 整个过程中页面没有刷新,只是刷新页面中的局部位置而已!
- 当请求发出后,浏览器还可以进行其他操作,无需等待服务器的响应!
二 原生Ajax
Ajax主要就是使用 XMLHttpRequest对象来完成请求的操作,该对象在主流浏览器中均存在(除早期的IE),Ajax首次出现IE5.5中存在(ActiveX控件)。
2.1 XMLHttpRequest对象介绍
XMLHttpRequest对象的主要方法:
a. void open(String method,String url,Boolen async)
用于创建请求
参数:
method: 请求方式(字符串类型),如:POST、GET、DELETE...
url: 要请求的地址(字符串类型)
async: 是否异步(布尔类型)
b. void send(String body)
用于发送请求
参数:
body: 要发送的数据(字符串类型)
c. void setRequestHeader(String header,String value)
用于设置请求头
参数:
header: 请求头的key(字符串类型)
vlaue: 请求头的value(字符串类型)
d. String getAllResponseHeaders()
获取所有响应头
返回值:
响应头数据(字符串类型)
e. String getResponseHeader(String header)
获取响应头中指定header的值
参数:
header: 响应头的key(字符串类型)
返回值:
响应头中指定的header对应的值
f. void abort()
终止请求
XMLHttpRequest对象的主要属性:
a. Number readyState
状态值(整数)
详细:
0-未初始化,尚未调用open()方法;
1-启动,调用了open()方法,未调用send()方法;
2-发送,已经调用了send()方法,未接收到响应;
3-接收,已经接收到部分响应数据;
4-完成,已经接收到全部响应数据;
b. Function onreadystatechange
当readyState的值改变时自动触发执行其对应的函数(回调函数)
c. String responseText
服务器返回的数据(字符串类型)
d. XmlDocument responseXML
服务器返回的数据(Xml对象)
e. Number states
状态码(整数),如:200、404...
f. String statesText
状态文本(字符串),如:OK、NotFound...
2.2 跨浏览器支持
- XMLHttpRequest
IE7+, Firefox, Chrome, Opera, etc. - ActiveXObject("Microsoft.XMLHTTP")
IE6, IE5
2.3 实例
native_ajax.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h3>原生Ajax实例</h3>
<P><button onclick="XmlGetRequest()">GET发送请求</button></P>
<P><button onclick="XmlPostRequest()">POST发送请求</button></P>
<script src="/static/jquery-3.2.1.js"></script>
<script>
//该函数可以跨浏览器支持
function getXhr() {
var xhr = null;
if (XMLHttpRequest) {
xhr = new XMLHttpRequest();
} else {
xhr = new ActiveXObject("Microsoft.XMLHTTP");
}
return xhr;
}
//GET请求
function XmlGetRequest() {
var xhr = getXhr();
//定义回调函数
xhr.onreadystatechange = function () {
if(xhr.readyState == 4){
// 已经接收到全部响应数据,执行以下操作
var response_data1 =xhr.responseText;
console.log(response_data1);
}
}
// 指定请求方式、请求地址及是否异步
xhr.open('GET', "/native_ajax_response/?g1=1&g2=2", true);
//发送请求
xhr.send();
}
//POST请求
function XmlPostRequest() {
var xhr = getXhr();
//定义回调函数
xhr.onreadystatechange = function () {
if(xhr.readyState == 4){
// 已经接收到全部响应数据,执行以下操作
var response_data2 =xhr.responseText;
console.log(response_data2);
}
}
// 指定请求方式、请求地址及是否异步
xhr.open('POST', "/native_ajax_response/", true);
// 设置请求头
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded; charset-UTF-8');
//发送请求
xhr.send('p1=11;p2=22');
}
</script>
</body>
</html>
注意:POST请求时,注意请求头:content-type
views.py
def native_ajax(request):
'''用于原生ajax返回初始页面'''
if request.method == 'GET':
return render(request,'native_ajax.html')
def native_ajax_response(request):
'''用于原生ajax请求响应'''
if request.method == 'GET':
g1 = request.GET.get('g1')
g2 = request.GET.get('g2')
print(g1,g2)
return HttpResponse('GET请求成功!')
else:
p1 = request.POST.get('p1')
p2 = request.POST.get('p2')
print(p1,p2)
return HttpResponse('POST请求成功!')
执行结果:
注意:注释掉CSRF
三 jQuery Ajax
首先我们要知道,jQuery Ajax内部基于“原生Ajax”的。
jQuery其实就是一个JavaScript的类库,其将复杂的功能做了上层封装,使得开发者可以在其基础上写更少的代码实现更多的功能。
- jQuery 不是生产者,只是是搬运工。
- jQuery Ajax本质 XMLHttpRequest 或 ActiveXObject
注:2.+版本不再支持IE9以下的浏览器
jQuery.get(...) 所有参数: url: 待载入页面的URL地址 data: 待发送 Key/value 参数。 success: 载入成功时回调函数。 dataType: 返回内容格式,xml, json, script, text, html jQuery.post(...) 所有参数: url: 待载入页面的URL地址 data: 待发送 Key/value 参数 success: 载入成功时回调函数 dataType: 返回内容格式,xml, json, script, text, html jQuery.getJSON(...) 所有参数: url: 待载入页面的URL地址 data: 待发送 Key/value 参数。 success: 载入成功时回调函数。 jQuery.getScript(...) 所有参数: url: 待载入页面的URL地址 data: 待发送 Key/value 参数。 success: 载入成功时回调函数。 jQuery.ajax(...) 部分参数: url:请求地址 type:请求方式,GET、POST(1.9.0之后用method),默认为GET headers:请求头 data:要发送的数据 contentType:即将发送信息至服务器的内容编码类型(默认: "application/x-www-form-urlencoded; charset=UTF-8") async:是否异步 timeout:设置请求超时时间(毫秒) beforeSend:发送请求前执行的函数(全局) complete:完成之后执行的回调函数(全局) success:成功之后执行的回调函数(全局) error:失败之后执行的回调函数(全局) accepts:通过请求头发送给服务器,告诉服务器当前客户端可接受的数据类型 dataType:将服务器端返回的数据转换成指定类型 "xml": 将服务器端返回的内容转换成xml格式 "text": 将服务器端返回的内容转换成普通文本格式 "html": 将服务器端返回的内容转换成普通文本格式,在插入DOM中时,如果包含JavaScript标签,则会尝试去执行。 "script": 尝试将返回值当作JavaScript去执行,然后再将服务器端返回的内容转换成普通文本格式 "json": 将服务器端返回的内容转换成相应的JavaScript对象 "jsonp": JSONP格式 使用 JSONP 形式调用函数时,如 "myurl?callback=?" jQuery 将自动替换 ? 为正确的函数名,以执行回调函数 如果不指定,jQuery 将自动根据HTTP包MIME信息返回相应类型(an XML MIME type will yield XML, in 1.4 JSON will yield a JavaScript object, in 1.4 script will execute the script, and anything else will be returned as a string converters: 转换器,将服务器端的内容根据指定的dataType转换类型,并传值给success回调函数 $.ajax({ accepts: { mycustomtype: 'application/x-some-custom-type' } // Expect a `mycustomtype` back from server dataType: 'mycustomtype' // Instructions for how to deserialize a `mycustomtype` converters: { 'text mycustomtype': function(result) { // Do Stuff return newresult; } } });
实例
jquery_ajax.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h3>jQuery Ajax实例--一个简单的计算器</h3>
<input type="text" id="a1" placeholder="请输入第一个数值">
+
<input type="text" id="a2" placeholder="请输入第二个数值">
=
<input type="text" id="a3" placeholder="计算结果">
<input type="button" id="btn" value="jQuery_Ajax计算" onclick="add();" >
<script src="/static/jquery-3.2.1.js"></script>
<script>
function add() {
$.ajax({
url:'/jquery_ajax/',
type:'POST',
data:{'a1': $('#a1').val(),'a2': $('#a2').val()},
success:function (arg) {
$('#a3').val(arg);
}
})
}
</script>
</body>
</html>
views.py
def jquery_ajax(request):
'''用于jQuery Ajax实例'''
if request.method == 'GET':
return render(request,'jquery_ajax.html')
else:
#这里为了方便,我们之间将其装换为int类型。前端需要输入数字类型
a1 = int(request.POST.get('a1'))
a2 = int(request.POST.get('a2'))
result = a1 + a2
return HttpResponse(result)
执行结果:
四 “伪”Ajax
由于<iframe>标签具有局部加载内容的特性(偷偷的通过HTTP向后台发送数据),所以可以使用其来伪造Ajax请求。
实例一:单独使用iframe(获取指定URL页面)
iframe.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<div>
<input type="text" id="url" placeholder="请输入需要加载的URL">
<input type="button" value="刷新" onclick="changeSrc();">
</div>
<br>
<P style="text-align: center">页面加载位置</P>
<iframe id="ifr1" style="width: 1400px; height: 600px;"></iframe>
<script>
function changeSrc() {
var url = document.getElementById('url').value;
document.getElementById('ifr1').src = url;
}
</script>
</body>
</html>
实例二:混合使用Form+iframe
form_iframe.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/form_iframe/" method="post" target="ifr1"> <!--target='iframe的name属性'-->
<iframe name="ifr1" onload="loadIframe()" style="display: none"></iframe>
<input id='inp1' type="text" name="xxx" />
<input type="submit" value="提交">
</form>
<script>
function loadIframe() {
var content = document.getElementById('ifr1').contentWindow.document.body.innerText;
document.getElementById('inp1').value = content;
console.log(content);
}
</script>
</body>
</html>
views.py
def form_iframe(request):
'''iframe和form一起使用实现伪造ajax请求'''
if request.method == "GET":
return render(request, 'form_iframe.html')
else:
print(request.POST.get('xxx'))
return HttpResponse('iframe返回值')
执行时会报错:
form_iframe.html更改如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form id="f1" action="/form_iframe/" method="post" target="ifr1"> <!--target='iframe的name属性'-->
<iframe id="ifr1" name="ifr1" style="display: none" ></iframe>
<input id='inp1' type="text" name="xxx" />
<button onclick="submitForm();">iframe提交</button>
</form>
<script>
function submitForm(){
document.getElementById('ifr1').onload = loadIframe;
document.getElementById('f1').submit(); //找到元素,通过js提交Form数据
}
function loadIframe() {
//获取iframe返回值
var content = document.getElementById('ifr1').contentWindow.document.body.innerText;
document.getElementById('inp1').value = content;
}
</script>
</body>
</html>
重点注意点:
1.iframe返回值的位置
2.iframe返回值的获取方式
var content = document.getElementById('ifr1').contentWindow.document.body.innerText;
3.JS代码提交form表单内容方式
document.getElementById('f1').submit(); //找到元素,通过js提交Form数据
五 CSRF跨站请求伪造
上面的实例都都出现了一个问题,当我们使用’GET‘访问服务端可以正常访问,但使用’POST‘请求访问服务端时,都会报错:403 (Forbidden)
那我们怎么解决呢?主要有以下几种方式:
方式一:
$.ajaxSetup({
data:{csrfmiddlewaretoken:'{{ csrf_token }}'}
});
注意:要放在ajax请求的前面,在发送之前组装一组字符串,在第一步render的时候就发了
所以有局限性:如果把JS代码放到静态文件中,不会渲染,不会执行{{csrf_token}},只能在HTML页面中使用
方式二:SCRF放置在请求头中
function add() {
$.ajax({
url:'/jquery_ajax/',
type:'POST',
data:{'a1': $('#a1').val(),'a2': $('#a2').val()},
headers:{"X-CSRFToken":$.cookie('csrftoken')}, //设置头信息
success:function (arg) {
$('#a3').val(arg);
}
})
}
前提是我们需要先导入一个有关cookie操作的一个插件:
<script src="/static/jquery.cookie.js"></script>
方式三:SCRF放置在data中
function add() {
$.ajax({
url:'/jquery_ajax/',
type:'POST',
data:{……,'csrfmiddlewaretoken': $('input[name="csrfmiddlewaretoken"]').val()},
success:function (arg) {
$('#a3').val(arg);
}
})
}
前提是我们需要在body中加入{% csrf_token %},先获取到CSRF的值,后面才能获取其值发送给服务端。
以上方式二、三在之前的文章:WEB框架--DJANGO之XSS&CSRF有详细例子。
浙公网安备 33010602011771号