本文目录一览：

• 1、Ajax的优点和缺点？
• 2、ajax 为什么需要 同源策略
• 3、一分钟学会什么是Ajax及Ajax请求的五个步骤
• 4、关于ajax的安全问题，语句为$.post("delete.ashx",{"id":id});，如
• 5、黑客可以绕开Ajax验证么

Ajax的优点和缺点？

优点：能在不更新整个页面的前提下维护数据。这使得Web应用程序更为迅捷地回应用户动作，并避免了在网络上发送那些没有改变的信息。Ajax不需要任何浏览器插件，但需要用户允许JavaScript在浏览器上执行。

缺点：破坏浏览器的后退与加入收藏书签功能。一个被完整读入的页面与一个已经被动态修改过的页面之间的可能差别非常微妙；用户通常都希望单击后退按钮，就能够取消他们的前一次操作，但是在Ajax应用程序中，却无法这样做。

应用

Ajax前景非常乐观，可以提高系统性能，优化用户界面。Ajax现有直接框架AjaxPro，可以引入AjaxPro.2.dll文件，可以直接在前台页面JavaScript调用后台页面的方法。但此框架与表单验证有冲突。另外微软也引入了Ajax组件，需要添加AjaxControlToolkit。dll文件，可以在控件列表中出现相关控件。

以上内容参考：百度百科-ajax

ajax 为什么需要 同源策略

如果把“需要”替换为“遵守”可能更好一些。

同源策略的本质是一种约定，可以说web的行为就是构建在这种约定之上的。就好比我们人类的行为必须受到法律的约束一样。同源策略的目的就是限制不同源的document或者脚本之间的相互访问，以免造成干扰和混乱。

ajax太灵活了，各种请求说法就发，如果没有同源策略的限制，发到哪里都行，只要你构造好参数和请求路径，那人人都是黑客了，这样会导致各种敏感数据的泄露。

另外呢，那些带src属性的scriptimgiframelink等标签是不需要遵守同源策略的，但是通过src加载的资源，浏览器限制了javascript的权限，不能进行各种的读写。从而，即使请求发了，敏感数据回来了，也是取不到的。

通过上对比，带有src的标签不被同源策略限制，因为javascript本身就做了读写的限制，而ajax本身就是js的，太灵活了，javascript读写方便，所以它必须遵守同源策略。

最后再补充一点，如果ajax非要跨越，可以使用cors。你可以百度“cors 跨域”来学习一下。

一分钟学会什么是Ajax及Ajax请求的五个步骤

AJAX的意思就是异步的JavaScript和XML。简而言之，它是使用XMLHttpRequest对象与服务器端通信的脚本语言。它可以发送及接收各种格式的信息，包括JSON、XML、HTML和文本文件。AJAX最为吸引人的就是它的“异步”特性，AJAX可以无需刷新页面而与服务器端进行通信。

Ajax请求的五个步骤：

1、建立xmlHttpRequest对象

if(window.XMLHttpRequest) {

xmlHttp = new XMLHttpRequest();

if(xmlHttp.overrideMimeType) {

xmlHttp.overrideMimeType("text/xml");

}

} else if(window.ActiveXobject) {

var activeName = ["MSXML2.XMLHTTP", "Microsoft.XMLHTTP"];

for(var i = 0; i activeName.length; i++) {

try {

xmlHttp = new ActiveXobject(activeName[i]);

break;

} catch(e) {}

}

}

if(!xmlHttp) {

alert("创建xmlhttprequest对象失败");

} else {}

2、设置回调函数

xmlHttp.onreadystatechange= callback;

function callback(){}

3、使用OPEN方法与服务器建立连接  xmlHttp.open("get","ajax?name="+ name,true)

此步注意设置http的请求方式（post/get）,如果是POST方式，注意设置请求头信息xmlHttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded")

4、向服务器端发送数据

xmlHttp.send(null)；如果是POST方式就不为空

5、在回调函数中针对不同的响应状态进行处理

if(xmlHttp.readyState == 4){       //判断交互是否成功

if(xmlHttp.status == 200){         //获取服务器返回的数据         //获取纯文本数据

var responseText =xmlHttp.responseText;

document.getElementById("info").innerHTML = responseText;

}

}

扩展资料：

Ajax优缺点

优点：

1、异步请求，不妨碍用户浏览页面或者其他操作。

2、局部刷新，无需重新刷新页面。

3、界面与应用分离。有利于分工合作、减少非技术人员对页面的修改造成的WEB应用程序错误、提高效率、也更加适用于现在的发布系统。

4、基于标准被广泛支持。

5、前端和后端负载平衡。最大程度的减少冗余请求和响应对服务器造成的负担，提升站点性能。

缺点：

1、back和History,对浏览器机制的破坏。

2、安全问题。易受到黑客攻击。

3、对搜索引擎支持较弱。

4、不能很好支持移动设备。

5、违背URL和资源定位的初衷。

关于ajax的安全问题，语句为$.post("delete.ashx",{"id":id});，如

SQL 注入，但是现在流行的框架都会对GET和POST参数进行转移，查询数据库时参数也会转义，基本上 SQL 注入现在很难入侵。

最主要的攻击手段还是网站程序的漏洞，比如 DEDE 的开源系统，黑客会研究里面的源代码，找到漏洞后，直接对一些 DEDE 网站进行入侵。

黑客可以绕开Ajax验证么

ajax其实就是用javascript访问其他页面然后显示。和你不断点刷新或者“看不清”作用是一样的