一、引言

很多人都喜歡XMLHttpRequest，因為它提供給程序員真正夢想的功能。也正是因為有了這樣的新技術，Web應用軟件開始變得具有象桌面應用軟件相似的行為。如今，問題總是象"假定為……"那樣地簡單，這把幼稚的終端用戶從需要了解服務端、客戶、回寄和提交按鈕。"提交?提交給什么東西?"等一系列問題的苦海中解脫出來。

最近,無數可怕的案例爆炸式出現在Web上，它們充分說明為什么遠程腳本(或稱"AJAX"，如果你喜歡的話)是自從單像素點gif技術以來最偉大的事情。事實上,成串的酷極的、有用的應用軟件正日益增長,象站點Flickr,Google Maps,The WebORB Presentation Server等所宣傳的那樣。

這些站點和另外許多地方大肆宣傳AJAX的能力。公正地說,這種技術在提高在線操作的質量方面的確有相當的潛力來。然而,盡管它有許多的優點，但是這個神圣的Web通訊大杯中嗅起來仍然有一股奇怪的味道;就象擺動在我們面前的啤酒和巧克力,仍有一個邪惡的方面存在于其中-表面上看起來是多么地純潔和天真。

這種潛在的邪惡存在于用戶熟悉的操作界面背后的重要的功能性差距之中。你們當中許多人可能已經使用互聯網近10年了，并且你知道它怎樣工作:你到處點按鼠標，填充表單，修改你的輸入;當做完所有這些，你可以點擊提交按鈕。你們都了解這些精華經驗-它們從因特網的一代傳遞到新的一代,如:"不要點按提交按鈕兩次-否則，表單可能要提交兩次"或"等待稍微長一些時間，它正在處理"或"在你提交了表單后,不要點按'向后'按鈕"，等等。

但是既然現在AJAX已登堂入室，那么你可以把基本知識拋出窗外。簡直是"什么東西都可以"-突然間出現一種新的可被跟蹤的數據-可以在任何時候發送出去，而不需要用戶的任何了解，甚至用戶還不了解這竟然是可能發生的。

二、XMLHttpRequest:利與弊

就象許多技術存在利弊一樣，產生這種技術的目的是為了利用其優點。直到如今，XMLHttpRequest帶給人們如此多的優點，諸如不需回滾的輸入校驗，文本區域的拼寫檢查以及Gmail等等，簡直幾乎為人們捧之為神圣?；贏JAX技術創建的接口使用起來非常有趣，甚至編碼更有趣味。簡直很難令人相信，這樣一種神奇的技術竟然能夠做錯事情。

但是，即使還沒有發現存在巨大的安全漏洞，該XMLHttpRequest也有可能因為其外在的優雅而失敗。它很可能會失敗在"用戶輪廓圖"-用于更好的描述之目的-的應用之中。當前,用戶輪廓圖幫助Web站主偵探趨勢,跟蹤網頁瀏覽習慣并幫助消除使用性問題。但是直到現在，開發人員還只能分析寄回的數據-用戶決定讓服務器取得的數據并為提交后得到處理而高興。

但是通過一種微秒的手段，這種能量平衡會發生易位。通過使用AJAX技術，一個用戶的行為可以被持續地并小心地監控。因為它能被做,所以它將被做;這就帶給人們一個相當頭疼的問題，而不僅僅是浪費帶寬、成兆的垃圾信息以及更慢的網頁裝載次數的問題。

設想一下，這里僅是舉例說明問題，你把一部新購買的iPod掉到地上去了，結果它停止了工作。抱著希望得到免費的替換的想法，你發了一封電子郵件給Apple公司的售后服務部，信中說:"我剛剛買了一個新牌子的iPod。我不小心把它掉到了樓梯上，它突然停止工作了。"之后，你決定刪去第二句以支持你的理由。太晚了!如果該網站使用了AJAX技術,你的反映可能早就被殺死在了你的抱怨桌前!

或者-一個更惡意破壞性的例子-請考慮這種情況:大多數人都有一個或兩個用戶名/口令組合以用于他們的"并不重要"的站點，如新聞站點、博客、論壇等。他們可能還有幾個保留的這種組合以用于更敏感的網站-銀行業務，Web郵件和工作帳號等。在一個給定頁面中輸入不正確的登錄細節是非常普通和極易犯的錯誤。雖然他們以前形成的習慣的影響應對此負主要責任，但是在人們點擊提交按鈕前常常是已經意識到他們所做的事情的。

不幸的是，一個AJAX擊鍵記錄程序實現起來相當麻煩。使用如此的一個擊鍵記錄程序,就可以用代碼來收集不正確的登錄嘗試，然后針對一系列"重要的"站點對之進行試驗-當然，也可以使用XMLHttpRequest對象。

三、"惡意"暗示

公平地說,上面引用的大多數的"惡意"應用軟件都能被合理地加以處理，即使在XMLHttpRequest技術出現以前。的確，request對象是一種相對于以前的IFrame技術更為優雅的成功提交表單數據的方法。但是，XMLHttpRequest以一種更為自然的方式工作，這種方式簡直可以能使客戶端與服務器端的交互差別逐漸消失。

具有諷刺意味的是，直到最近，隨著Firefox Web瀏覽器的不斷流行，才使得較多用戶真正了解到可以由Web客戶端儲存和控制的信息的深度和廣度。隨著廣泛采用象Greasemonkey，Web開發者擴展以及cookie編輯器這樣的工具，人們比以往任何時候更為確信，如果問題發生在客戶端，那么責任一般應歸咎于該用戶。

但是現在,即使象我們這樣狂妄的人也不再只是右擊鼠標，看一下源代碼，然后就能確信正在發生的事情了。請考慮下面的OnReadyStateChange JavaScript語句，運行它是為了響應一個XMLHttpRequest:

xmlReq.onreadystatechange =
　　{
　　if( xmlReq.readyState == 4 )
　　{
　　eval( xmlReq.responseText );
　　}
　　}

上面的代碼執行包含在來自于XMLHttpRequest的響應中的JavaScript代碼。換句話說,有可能出現這種情況：即使一個頁面加載完畢，也有可能在后臺再進行添加或修改JavaScript函數和代碼!因此就算你觀察該頁面代碼的源代碼-它可能發送了鍵擊或鼠標移動事件到Web服務器,你也無法確信你所見的代碼是當前執行的唯一代碼。把這些特征與一些令人膽戰心驚的困惑結合起來，那么你可以看到，惡意目的與XMLHttpRequest對象相結合，怎么不能實現Web客戶的信息竊取!

#p#

四、還不確信?

你還不感到害怕并因此而憤怒嗎?還不準備憤起并刪去你的瀏覽器中的XMLHttpRequest代碼嗎?那么，好，也許本文強勢的措詞論證會嚇倒了你；那么在游戲"Fonzie尋寶記"(The Search For 's Treasure。譯者注：在GOOGLE中輸入這幾個關鍵詞，你肯定能找到這個在線文本游戲，本人沒有深入試驗。難道這個小東西那么可愛的面孔下竟然埋伏著上面所述的那么恐怖的……)中-你能夠救出Fonzie嗎?

通過使用很有藝術的命令行接口,穿過充滿文本的門廳尋找丟失的Arthur 'Fonzie' Fonzarelli寶藏。祝你幸運，但是請記住，雖然它看上去就象無危害的客戶交互-你每作四次移動，該游戲通過XMLHttpRequest對象發送一個請求到服務器上并保存你的移動。永遠記?。翰灰鲆粋€印刷工(Don't make a typo)；不要嘗試一些愚蠢的東西如"eat jukebox"；不要在游戲中輸入一個用戶名和口令字；否則……

XMLHttpRequest詳解

/*
*author Jouy.lu
*/
var xmlHttp; //首先定義一個全局域變量來保存對象的引用;
function createXMLHttpRequest(){ //該方法用來創建XMLHttpRequest對象的實例.
 if(window.ActiveXObject){
  xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
 }else if(window.XMLHttpRequest){
  xmlhttp = new XMLHttpRequest();
 } 
}

考慮到兼容瀏覽器的問題，建議的寫法如下：

var xmlhttp;
function createXmlhttp(){
 if(window.XMLHttpRequest){
  xmlhttp = new XMLHttpRequest();
  if (xmlhttp.overrideMimeType){
   xmlhttp.overrideMimeType("text/xml");
  }
  
 }
 else if(window.ActiveXObject){
  try{
   xmlhttp = new  ActiveXObject("Msxml2.XMLHTTP");
  }catch(e){
   xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
  }
 }
 if(!xmlhttp){
  window.alert("Your broswer not support XMLHttpRequest!");
 }
 return xmlhttp;
}

XMLHttpRequest的標準操作

abort()：終止當前請求;

getAllResponseHeaders()：把HTTP所以響應首部作為鍵/值對返回；

getResponseHeader("header")：返回指定首部的串值；

open("POST/GET/PUT","url")：建立對服務器的調用,url參數可以是相對URL或絕對URL,該方法還包含了另三個可選參數；

send(content)：向服務器發送請求；

setRequestHeader("header","value")：把指定首部設置為所提供的值。在設置任何首部之前必須先調用open()。

注：

void open(string method, string url, boolean asynch, string username, string password)：這個方法會建立對服務器的調用。要提供調用的特定方法（GET、POST或PUT），還要提供所調用資源的URL。另外還可以傳遞一個Boolean值，指示這個調用是異步還是同步的，默認值為true，這表示請求本質上是異步的。如果這個參數為false，處理就會等待，直到從服務器返回響應為止。由于異步調用是使用Ajax的主要優點之一，所以倘若將這個參數設置為false，從某種程度上講與使用XMLHttpRequest對象的初衷不太相符。在某些情況下這,個參數設置為false也是有用的，比如在持久存儲頁面之前你可能想先驗證用戶的輸入。***兩個參數不說自明，允許你指定一個特定的用戶名和口令。

void send(content)：這個方法具體向服務器發出請求。如果請求聲明為異步的，這個方法就會立即返回，否則它會等待，直到接收到響應為止。參數是可選的，可以是一個DOM對象的實例、一個輸入流，或者是一個串。傳入這個對象的內容會作為請求體的一部分發送。

void setRequestHeader(string header, string value)：這個方法為HTTP請求中一個給定的首部設置值。它有兩個參數，***個串表示要設置的首部，第二個串表示要在首部中放置的值。需要說明，這個方法必須在open()之后才能調用。在所有這些方法中，最有可能用到的就是open()和send()。XMLHttpRequest對象還有許多屬性，在設計Ajax交互時這些屬性非常有用。

void abort()： 顧名思義，這個方法就是要停止請求。

string getAllResponseHeaders()： 這個方法的核心功能對Web應用開發人員應該很熟悉了，它會返回一個串，其中包含HTTP請求的所有響應首部。首部包括Content-Length、Date和URI。

string getResponseHeader(string header)：這個方法與getAllResponseHeaders()是對應的，不過它有一個參數來表示你希望得到哪一個首部值，并且會把這個值作為一個串返回。

標準XMLHttpRequest屬性

onreadystatechange：每個狀態改變時都會觸發這個事件處理器，通常會調用一個JavaScript函數。

readyState：請求的狀態。有5個可取值：0 = 未初始化，1 = 正在加載， 2 = 已加載， 3 = 交互中， 4 = 完成。

responseText：服務器的響應，表示為一個串。

responseXML：服務器的響應，表示為XML。這個對象可以解析為一個DOM對象。

status：服務器的HTTP狀態碼（200對應OK，404對應Not Found（未找到），等等）.

statusText：HTTP狀態碼的相應文本（OK或Not Found（未找到）等等）。

#p#

來看看到底要怎么才能發送請求

使用XMLHttpRequest對象發送請求的基本步驟如下：

1.得到XMLHttpRequest對象實例的一個引用，為此，可以創建一個新的實例，也可以訪問包含有XMLHttpRequest實例的一個變量。

2.告訴XMLHttpRequest對象，哪個函數會處理XMLHttpRequest對象狀態的改變。為此要把對象的onreadystatechange屬性設置為指向一個JavaScript函數的指針。

3. 指定請求的屬性。XMLHttpRequest對象的open()方法會指定將發出的請求。open()方法取3個參數：一個是指示所用方法（通常是GET或POST）的串，另一個是表示目標資源URL的串，還有一個Boolean值，指示請求是否是異步的。

4. 將請求發送給服務器。XMLHttpRequest對象的send()方法會把請求傳送到指定的目標資源。

send()方法接受一個參數，這通常是一個串或一個DOM對象。這個參數會作為請求體的一部分傳送到目標URL.向send()方法提供參數時，要確保open()中指定的方法是POST。如果沒有數據要作為請求體的一部分發送，則使用null。

異步方式給用戶帶來的體驗：(我想程序員看到這段解釋,心里真的很爽!)

對服務器的請求是異步發送的，因此瀏覽器可以繼續響應用戶輸入，并在后臺等待服務器的響應。如果選擇同步操作，而且倘若服務器的響應要花好幾秒才能到達，瀏覽器就會表現得很遲鈍，在等待期間不能響應用戶的輸入。這樣一來，瀏覽器好像被凍住一樣，無法響應用戶輸入，而異步做法可以避免這種情況，從而讓最終用戶有更好的體驗，盡管這種改善很細微，但確實很有意義。

這樣用戶就能繼續工作，而且服務器會在后臺處理先前的請求。能與服務器通信而不打斷用戶的工作流，這樣就可以采用很多技術來改善用戶體驗。例如，假設有一個驗證用戶輸入的應用。用戶在輸入表單上填寫各個域時，瀏覽器可以定期地向服務器發送表單值來進行驗證，此時并不打斷用戶，他還可以繼續填寫余下的表單域。如果某個驗證規則失敗，用戶會立即得到通知，而不必等表單真正發送到服務器進行處理時才知道有錯誤，這就能大大節省用戶的時間，也能減輕服務器上的負載壓力，因為不必在表單提交不成功時完全重建表單的內容。

下面是說明安全問題的：

XMLHttpRequest對象要受制于瀏覽器的安全“沙箱”。XMLHttpRequest對象請求的所有資都必須與調用腳本在同一個域（domain）內。這個安全限制使得XMLHttpRequest對象不能請求腳本所在域之外的資源。這個安全限制的強度如何因瀏覽器而異（見圖2-5）。Internet Explorer會顯示一個警告，指出可能存在一個安全風險，但是用戶可以選擇是否繼續發出請求。Firefox則會斷然停止請求，并在JavaScript控制臺顯示一個錯誤消息。Firefox確實提供了一些JavaScript技巧，使得XMLHttpRequest也可以請求外部URL的資源。不過，由于這些技術針對特定的瀏覽器，***不要用，而且要避免使用XMLHttpRequest訪問外部URL。

XMLHttpRequest成員

屬性：

 
* 表示此屬性是W3C文檔對象模型的擴展.

方法：

【編輯推薦】

1. PHP成為中國應用最廣的Web開發語言
2. 新一代Java Web開發框架JSF訪談實錄
3. 如何選擇最為合適的Web開發框架
4. 熱門Web開發方式 REST實現原理淺析