为什么浏览器允许跨源JSONP请求并且不允许JSON请求?我知道不允许JSON请求阻止XSS,但我不知道JSONP如何比JSON更安全。
事实上,JSONP可能更危险,因为它在技术上是一个脚本,其中JSON只是一个文本字符串?
答案 0 :(得分:3)
JSONP并不安全。这是一个解决方法/漏洞/黑客,可以通过相同的原始政策。
CORS是JSONP的更安全的替代方案。
答案 1 :(得分:0)
由于跨域JSON被阻止,敏感数据可以使用JSON而不是JSONP传输。这可以防止XSS。此外,服务器不应使用JSONP发送敏感数据。因此,使用JSON发送数据可以防止未经授权的观察。从这个意义上讲,JSON更安全。