为什么
HTML DOM和/或
Javascript的创建者决定不允许跨域请求?
我可以看到禁止它的一些非常小的安全性好处,但从长远来看,似乎是尝试使Javascript注入攻击具有更少的权力.无论如何,这对JSONP来说都是没有意义的,它只是意味着javascript代码更难以制作,你必须有服务器端合作(尽管它可能是你自己的服务器)
解决方法
实际的跨域问题是巨大的.假设SuperBank.com在内部向http://www.superbank.com/transfer?amount=100\u0026amp;to=123456发送请求,将10,000美元转移到帐号123456.如果我可以到达我的网站,并且您已登录在SuperBank,我所要做的就是向SuperBank.com发送一个AJAX请求,将数千美元从您的账户转移到我的账户.
JSON-P可以接受的原因是滥用它是非常不可能的.使用JSON-P的网站几乎宣称数据是公共信息,因为这种格式太不方便了.但是,如果不清楚数据是否是公共信息,浏览器必须假设它不是.
