目前（2011 年）通过跨域 AJAX 进行 REST 是一个坏主意吗？

Question

我正在编写一个 REST 服务，Web 应用程序、桌面客户端、移动客户端等可以通过 REST 接口访问该服务。这个想法是将笔记、日历事件等对象存储在公共层次结构中，并提供用于创建、更新和删除文档的 HTTP 方法，因此这应该是 REST 接口的理想范围。

我的计划是在某个地方有一个 REST 服务器，并且 Web 应用程序在其他服务器上使用数据，因此我需要发出跨域请求，出于安全原因，该请求受到特殊限制（参见例如 本文）。我还想做一些实时更新网络的东西。

现在我一直在做广泛的研究，了解 CORS 是什么并尝试它（使用龙卷风和 jQuery.ajax），但到目前为止，我开始怀疑我的目标设置很快就会实现。我只尝试使用 Firefox（3.6 和 9），但我已经遇到了问题：

• HTTP 身份验证不适用于 jQuery.ajax() （即使设置了 withCredentials）
• 某些浏览器根本不支持 CORS （说 < a href="http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing" rel="nofollow">Wikipedia)
• 至少一个 FF 插件 (RequestPolicy) 使 CORS 根本不起作用

我知道 CORS/AJAX 是一个可能的解决方案，但似乎存在太多限制以供实际使用。你们以前做过这种事的人会怎么想：这是我应该做的事情，并希望这些问题将来某个时候能得到解决吗？或者对于跨域 REST/AJAX 方法来说还为时过早？对于上述计划，您会选择什么替代方案？当我开始一个新项目时，我想把它做得干净，没有 JSONP、代理或其他解决方法，但如果没有办法，我还是会这样做。

感谢您的任何答复！

Answer 1

没有什么可以阻止您以标准 JSON 提供响应（例如，对于 CORS 在浏览器中可用的情况），以及在不可用的情况下以 JSONP 提供响应。除了你的输出之外，它不会影响任何东西。

我不会说 CORS 本身是可行的，因为 IE < 8 不支持。我还想说 JSONP 没有任何问题；它是主要参与者使用的技术（Facebook API、Twitter API、Flickr API、Google 的各种 API）。

总之，你说的是对的；目前 CORS 的采用还不够广泛，无法使用。