由于在脚本标记中使用JSONP直接从不同的域获取数据是直截了当的,我们不应该允许XMLHttpRequest也这样做吗?声称它可以解决它时加强安全性没有多大意义,尽管语义更加混乱.
JSONP仅在提供者允许时才有效.
如果跨域AJAX工作,首先问题之一是人们发布到其他域,希望你有一个经过身份验证的帐户.这是CSRF.
他们可以获取一个经过身份验证的页面,获取您的令牌,然后使用您的令牌发布恶意内容(告诉应用程序这是一个内部请求).
京公网安备 11010802040832号 | 京ICP备19059560号-6 