我开始使用 JSONP 进行开发,以允许我的代码嵌入到另一家公司的站点中并调用我的服务器,而不会被同源策略阻止。
我的问题很简单:使用这种技术,任何可以注入 javascript 的人都可以轻松地在<script>标签中使用 JSONP 从他想要的任何地方加载内容,那么如果有这种简单的解决方法,同源策略的意义何在?
我知道服务器必须回复与 JSONP 兼容的内容,但在我看来,做他想做的任何事情都很容易。
问问题
96 次
1 回答
1
我知道服务器必须回复与 JSONP 兼容的内容,但在我看来,做他想做的任何事情都很容易。
不,这是警告。不公开的信息不(或至少不应该)作为 JSONP 提供。只有应该加载到任意站点(并允许忽略 SOP)的内容才会由其所有者作为 JSONP 提供。
SOP的目的不是防止能够将 javascript 注入任意站点的人,而是保护任意站点不被嵌入到可能具有敌意的站点中。
于 2014-09-04T15:06:10.557 回答