我开始使用JSONP进行开发,以允许我的代码嵌入到另一家公司的网站中并调用我的服务器,而不会被同源策略阻止。
我的问题很简单:使用这种技术,任何可以注入javascript的人都可以轻松地在<script>标签中使用JSONP来从他想要的任何地方加载内容,那么如果有这么简单,同源策略的重点是什么?解决办法:
我知道服务器必须回复JSONP兼容的内容,但在我看来,做任何他想做的事情都很容易。
答案 0 :(得分:1)
我知道服务器必须回复JSONP兼容的内容,但在我看来,做任何他想做的事情都很容易。
不,这是警告。不公开的信息不会(或至少不应该)作为JSONP提供。只有假定加载到任意网站(并允许忽略SOP)的内容才会被其所有者以JSONP的形式提供。
SOP的目的不是要保护那些能够将javascript注入任意网站的人,而是保护任意网站不被嵌入可能存在敌意的网站。