制作跨域API

Question

我有一个新项目在工作。它将需要跨域的服务器到服务器和客户端到服务器消息传递，就像 Facebook API 一样。我在哪里可以找到有关该主题的优质资源？

主要问题是：

• 我们应该更喜欢在“客户端”站点中使用 iframe 还是脚本？
• 你如何创建握手？在客户端到服务器和服务器到服务器代码中？
• 如何确保此过程的安全？如何验证请求的来源？

我知道这是一个广泛的话题，但我不太熟悉它，我希望朝着正确的方向推动。

Answer 1

您可以首先查看由 Luke Sheppard 编写的 Facebook 跨域 (XD) 源代码

https://github.com/facebook/connect-js/blob/master/src/core/xd.js

为了向后兼容，它使用 flash 对象以及磅后的查询字符串不支持的旧版浏览器的签名技术window.postMessage()

还有一个开源的 easyXDM 库，它旨在补偿浏览器差异并为两者提供简单的 api。 （我正在评估）

http://easyxdm.net

你基本上被锁定在使用 IFrame 来制作交叉域请求。安全性是另一个大主题，您还可以检查 http 请求，了解 stackoverflow 如何使用第 3 方域进行身份验证，它们使用会话哈希和随机数令牌来确保 http 上的安全。

祝你好运！

Answer 2

JSONP 非常适合来自浏览器的跨域请求。它不需要 iframe、flash 或其他技巧。

浏览器仅仅请求另一个 JS 脚本。请记住，Javascript 源文件可以跨域获取。

您可以使用查询字符串参数作为 api 调用的参数。