XHR注入,全稱XMLHttpRequest注入,是一種通過XMLHttpRequest對象來獲取並執行JavaScript代碼的技術。這種技術與使用eval函式直接執行代碼的方式不同,它涉及創建一個script DOM元素,並將XMLHttpRequest的回響注入到該script元素中以執行JavaScript代碼。這種機制在某些情況下可能比使用eval更快。
使用XHR注入時,通過XMLHttpRequest獲取的內容必須來自與主頁相同的域。以下是一個簡單的XHR注入的示例代碼:
```javascript
var xhrObj = getXHRObject(); // 獲取XMLHttpRequest對象
xhrObj.onreadystatechange = function() {
if (xhrObj.readyState == 4) { // 請求已完成
var scriptElem = document.createElement('script');
document.getElementsByTagName('head').appendChild(scriptElem);
scriptElem.text = xhrObj.responseText; // 將回響文本設定為script的內容
}
};
xhrObj.open('GET', 'A.js', true); // 請求的URL,必須是與主頁面在同一域中的檔案
xhrObj.send(''); // 傳送請求
```
由於XHR注入是異步進行的,它不會阻塞頁面的渲染或onload事件,這使得它在性能上更受歡迎。然而,需要注意的是,這種技術僅適用於同源策略允許的情況,即請求的資源必須來自與發起請求的頁面相同的域。