如何规避第 3 方 https 站点的同源策略？

Question

我有一个 http:// 站点，它需要访问在 https:// 站点上公开的第 3 方 JSON API。我已经阅读了Ways to circumvent the same-origin policy，但似乎那里描述的方法不适合我：

1. document.domain 方法 - 仅适用于子域。
2. 跨域资源共享方法 - 需要服务器合作。
3. window.postMessage 方法 - 似乎需要打开一个弹出窗口？
4. 反向代理方法 - 一种可能的解决方案，但设置起来似乎有点困难。
5. http://anyorigin.com - 似乎不支持 SSL。

是这个吗？我必须实施似乎相当复杂的解决方案 4，还是我遗漏了什么？

Answer 1

您可以使用 Ajax-cross-origin 一个 jQuery 插件。有了这个插件，你可以使用 jQuery.ajax() 跨域。

使用非常简单：

    $.ajax({
        crossOrigin: true,
        url: url,
        success: function(data) {
            console.log(data);
        }
    });

您可以在这里阅读更多内容：http://www.ajax-cross-origin.com/

Answer 2

抱歉，anyorigin.com 似乎确实支持 https。

我天真地认为它没有的原因是因为API in question 返回 JSON，我认为我实际上只会得到纯文本响应（就像我在 google.com 上使用 anyorigin.com 的测试一样）。当它只返回一个 object 时，我发现有些东西坏了。

看来该对象只是返回解析后的 JSON，所以我可以开始了！

更新 - 在我发布这篇文章几周后，anyorigin.com 停止与一些 https 网站合作，所以我继续写了 whateverorigin.org，这是 anyorigin 的开源替代品。

Answer 3

JSONP 应该在您的列表中，并且更高。标准差不多。它需要服务器合作，但大多数 API 都应该知道自己在做什么并支持它。

here 是对其工作原理的真正基本描述