2.GET与POST发送数据
在大多数情况下,向服务器发送一个请求而没有任何请求参数是没有什么意义的。如果没有请求参数,服务器就得不到上下文数据,也无法根据上下文数据为客户创建不同的响应,实际上,服务器会向每一个客户发送同样的响应。
要想充分发挥Ajax技术的强大功能,这要求向服务器发送一些上下文数据。假设有一个输入表单,其中包含需要输入邮件地址的部分。根据用户输入的ZIP编码,可以使用Ajax技术预填相应的城市名。当然,要想查找ZIP编码对应的城市,服务器首先需要知道用户输入的ZIP编码。
用户需要以某种方式将用户输入的ZIP编码值传递给服务器。不过,XMLHttpRequest对象的工作与以往惯用的HTTP技术(GET和POST)是一样的。
GET方法把值作为名/值对放在请求URL中传递,资源URL的最后有一个问号(?),问号后面就是名/值对。名/值对采用name=value的形式,各个名/值之间用(&)分隔。
采用POST方法向服务器发送命名参数时,与采用GET方法几乎是一样的。类似于GET方法,POST方法会把参数编码为名/值对,形式为name=value,每个名/值对之间也用与号(&)分隔。这两种方法的主要区别在于,POST方法将参数串放在请求中发送,而GET方法是将参数追加到URL中发送。
如果数据处理不改变数据模型的状态,HTML使用规约理论上推荐采用GET方法,从这可以看出,获取数据时应当使用GET方法。从这可以看出,获取数据时应当使用GET方法。如果因为存储、更新数据,或者发送了电子邮件等操作,改变了数据模型的状态,这时建议使用POST方法。
每个方法都有各自的优点,由于GET请求的参数编码到请求URL中,所以可以在浏览器中为该URL建立书签,以后就能很容易地重新请求。不过,如果是异步请求就没有什么用。从发送到服务器的数据量来讲,POST方法更为灵活。使用GET请求所能发送的数据量通常是固定的,因为浏览器不同而有所差异,而POST方法可以发送任意量的数据。
HTML form元素允许通过将form元素的method属性设置为GET或POST来指定所需的方法。在提交表单时,form元素自动根据其method属性的规则对input元素的数据进行编码。XMLHttpRequest对象没有这种内置行为。相反,要由开发人员使用JavaScript创建查询串,其中包含的数据要作为请求的一部分发送给服务器。不论使用的是GET请求还是POST请求,创建查询串的技术是一样的。惟一区别的是,当使用GET发送请求时,查询串会追加到请求URL中,而使用POST方法时,则在调用XMLHttpRequest对象的send()方法时发送查询串。
3.安全
如果讨论基于浏览器的技术时没有提到安全,那么讨论就是不完整的。XMLHttpRequest对象要受制于浏览器的安全“沙箱”。XMLHttpRequest对象请求的所有资源都必须与调用脚本在同一个域内。这个安全限制使得XMLHttpRequest对象不能请求脚本所在域之外的资源。
这个安全限制的强度因浏览器而异。IE会显示一个警告,指出可能存在一个潜在的安全风险,但是用户可以选择是否继续发出请求。Firefox则会断然停止请求,并在JavaScript控制台显示一个错误消息。
Firefox确实提供了一些JavaScript技巧,使得XMLHttpRequest也可以请求外部URL的资源。不过,由于这些技术针对特定的浏览器,所以最好不要用,而且要避免使用XMLHttpRequest访问外部URL
