同一生成元ポリシーまたは他のブラウザーのセキュリティ対策の将来の改訂により、JSONPのクロスドメイン非同期要求機能が妨げられる可能性があるというリスクはありますか?
開発者がパブリック環境で非同期機能を提供する場合は、これを考慮に入れる必要があります。
1 に答える
3
JSONP はトランスポート用のタグに依存しているscriptため、比較的安全だと思います。別のドメインのスクリプトへのアクセスを無効にすると、Web の動作が大きく変わります。JSONP は意図的に同じ生成元ポリシーを回避して動作しますが、失敗するにはブラウザーがスクリプトを処理する方法を根本的に変更する必要があります。
すべての外部スクリプトがなんらかの形でアプリケーションとの対話からサンドボックス化されない限り (サイトのいたるところでサイトが壊れる可能性があります)、JSONP は安全である必要があります。
さらに、Flash の crossdomain.xml のようにクロスドメイン サポートを導入するブラウザが増えるにつれて、スクリプトを「信頼」する能力は高まる一方だと思います。
于 2010-04-02T14:26:32.097 に答える