JSONP を使用して開発を開始し、コードを別の会社のサイトに埋め込んで、同一生成元ポリシーによってブロックされることなくサーバーを呼び出すことができるようにしています。
私の質問は単純です。この手法を使用すると、javascript を挿入できる人なら誰でも、タグで JSONP を簡単に使用して、好き<script>な場所からコンテンツをロードできます。この簡単な回避策がある場合、同一オリジン ポリシーのポイントは何ですか?
サーバーが JSONP 互換のコンテンツで応答する必要があることは理解していますが、彼がやりたいことは何でも簡単にできるように思えます。