¿Por qué $ .post() está sujeto a la misma política de origen, pero está enviando un formulario con method = 'POST' correcto?

Question

Estoy trabajando en una herramienta web que simplifica el trabajo que hacemos en mi oficina. Las herramientas que nos proporciona nuestro socio tienen un inicio de sesión genérico que usa todo el piso, pero se agota cada 30 minutos, lo que es molesto tener que volver a iniciar sesión todo el día.

Lo que he hecho en el pasado, fue crear un iframe oculto dentro de mi herramienta que inicia sesión al enviar un formulario oculto en la carga de la página y continuar enviando el formulario cada 30 minutos para evitar un tiempo de espera. Luego pueden enviar búsquedas a la herramienta asociada directamente desde mi herramienta (a través de otra forma visible).

Me gustaría utilizar jQuery $.post() para eliminar el iframe oculto, y hacerlo de manera que la única vez que envíe la información de inicio de sesión sea cuando se realice una búsqueda. De esta forma, no envía constantemente solicitudes cuando no está en uso, pero aún puede ejecutar una búsqueda sin tener que preocuparse por el tiempo de espera de inicio de sesión.

Parecería que la misma política de origen de ajax lo está impidiendo, por lo que en este momento solo tengo que abrir una nueva ventana con nombre, y luego enviar dos formularios ocultos en la ventana de destino uno después del otro.

El problema con esto es si la solicitud de inicio de sesión no se ha completado, la solicitud de búsqueda no se procesa y se vuelven a llevar a la página de inicio de sesión. Si cierran la ventana y vuelven a buscar, funcionará, pero esto también es molesto, solo que no tanto como la situación original.

Así que, aparte del hecho de que realmente tiene que ver la página abierta (a menos que esté en un iframe oculto) ¿cuál es la diferencia entre enviar parámetros a través del $.post() y enviar un formulario usando el método POST? Se ven idénticos en Firebug. ¿Hay alguna manera de configurar una devolución de llamada en el envío del formulario, por lo que espera a que se complete la primera solicitud antes de comenzar el segundo?

Answer 1

$ .post usa xmlhttprequest para enviar datos. Xhr está restringido a través de cors. Enviar una solicitud HTTP POST directa no lo es.

Answer 2

La política del mismo origen de ajax es dejar de enviar su información a través de la red a su servidor personal, sin que usted sepa que está sucediendo. No se recomiendan publicaciones en la página a otros servidores, y pueden fallar.

¿Puedes resolverlo? Puede reemplazar el formulario enviado con jq para esperar a que se complete el estado de inicio de sesión y luego enviar el formulario; sin embargo, no estoy seguro de que sea una buena idea: un bucle de giro generalmente indica un error de diseño.

¿Cuánto control tiene el código? ¿Puede hacer que el envío haga un inicio de sesión, y al regresar envíe la búsqueda? ¿O hacer que la búsqueda no requiera el inicio de sesión?

Answer 3

Al realizar una solicitud POST a otro dominio, no podrá acceder a la respuesta con JavaScript (incluso si envía el formulario a un iframe).

Sin embargo, al usar XHR, tiene acceso completo a la respuesta, por lo que podría hacer muchas cosas malas, como p. Ej. accediendo a páginas donde el usuario está conectado, husmeando en su intranet corporativa, etc.

Por lo tanto, las restricciones del XHR no deben evitar el CSRF, pero para evitar la divulgación de información privilegiada.