在许多地方,我已经看到人们谈论过跨域XMLHttpRequest,由于某些 安全原因 ,这是不可能的。但是,我还没有找到表明这些 安全原因 实际上是什么的帖子?
人们提到JSONP是不错的选择之一。另一种选择是使用Origin和Access-Control-Allow-Origin标头。
Origin
Access-Control-Allow-Origin
但是,我只想知道由于跨域XMLHttpRequest的使用会引起哪些安全问题?
我认为最好回答您的问题的示例,为什么这太糟糕了。
您转到我的网站(example.org)。我加载了一个脚本,该脚本向facebook.com/messages/from/yourgirlfriend发出客户端AJAX请求。您碰巧登录了facebook,浏览器告诉Facebook我的请求实际上是您。Facebook很高兴向我发出请求,告知您您想尝试的奇怪性行为的消息。我现在知道有关您的事情,您可能不想让我知道。
当然,这是一个疯狂的夸张,而且由于相同的原产地政策,这是不可能的。
你现在不觉得安全吗?