이 교차 도메인 아약스 호출이 실제로 작동하는 이유는 무엇입니까?

Question

내가 실수 (jQuery를 함께) NextBus에 도메인 간 AJAX 호출을 썼다 :

$.ajax({ 
     url: 'http://webservices.nextbus.com/service/publicXMLFeed?command=predictions&a=sf-muni&r=1&s=6294', 
     dataType: 'xml', 
     success: function(data) { 
      do_stuff(); 
     } 
}); 

것이 인이 다른 도메인에서 오는에도 불구하고, 모든 브라우저에서 작동합니다. 단일 오리진 정책이 주어진다면 이것이 실제로 작동하는 이유는 무엇입니까?

페이지가 여기에 있습니다 : http://sftransitfirst.org/F/, 풀다운에서 정지를 선택하면 아약스가 트리거됩니다.

예상대로, Google Maps API Web Services에 대한 비슷한 호출은 익숙한 Origin ... is not allowed by Access-Control-Allow-Origin (그리고 jsonp를 지원하지 않음)으로 실패합니다.

Answer 1

는 그들은 명시 적으로 이러한 방식의 뭔가, 크로스 도메인 액세스 허용해야합니다 :

<ifModule mod_headers.c> 
    Header set Access-Control-Allow-Origin: * 
</ifModule> 

Answer 2

현대의 많은 웹 API를 Cross-Domain Resource Sharing (CORS)를 활성화 :

<?php header('Access-Control-Allow-Origin: *'); ?> 

또는 htaccess로와

. CORS는 웹 사이트가 자발적으로 자신의 페이지를 도메인 간 스크립트에 사용할 수있게하는 방법입니다. 서버의 Access-Control-Allow-Origin HTTP 헤더가 웹 브라우저에 신호를 보내면 Ajax가있는 페이지에 액세스 할 수 있도록 허용합니다. 스크립트가 다른 출처에서 실행중인 경우에도 마찬가지입니다. 서버가 CORS 헤더를 제공하지 않으면 브라우저는 평소와 같이 SOP를 적용합니다.

대부분의 API는 사실상 모든 사용자가 자신의 도메인에서 Ajax를 통해 API에 액세스 할 수 있기를 원하기 때문에 크로스 도메인 스크립트에 페이지를 표시합니다.