您的前提不正确。同源策略没有说明网页在外部域中包含资源的能力。这样可以防止通过不同来源的脚本直接访问资源，而无需选择它们。

因此，CORS和JSONP并非Same
Origin策略的解决方法。CORS使Origin可以选择加入具有响应的XHR请求，而JSONP只是一种黑客，它允许外部引用将动态数据返回到页面。

这里的重点是保护您的页面，这样一来就不可能使用XSS。为此，重点应放在正确编码输出到页面的文本上。这将防止“打电话回家”，因为首先不可能进行攻击。一个内容安全策略可以帮助中和管理通过网滑倒任何脚本。您网站上的定期安全漏洞评估应获取未编码的输出-
将CSP视为在找到和修复它们之间的空白，尽管浏览器还不完全支持（尤其是Internet
Explorer）。

但是，XMLHttpRequest不允许这样做，因此Company.com必须使用JSONP，但这将防止数据清理，并可能导致攻击者向页面注入任意Javascript。这是一个更好的解决方案吗？

它不是。CORS是更好的解决方案，因为请求将检索数据而不是可执行代码。CORS允许XMLHttpRequest做到这一点。

使用CORS响应标头Access-Control-Allow-Origin，网站所有者example.com可以将其设置为

Access-Control-Allow-Origin: https://company.com

以仅允许company.com客户端通过用户浏览器通过HTTPS访问数据。

在这种CORS方案中，example.com仅信任company.com该特定请求的数据响应。与Access-Control-Allow- Credentials标头结合使用时，他们可以选择在其浏览器处向用户请求用户的任何授权Cookie，并将其与请求一起发送，并在处由JavaScript读取响应company.com。

在JSONP情况下，company.com将信任example.com与 他们的整个原产地
。这意味着他们信任example.com整个客户端站点安全模型。Example.com可以对company.com网站进行任何操作。因此，如果example.com受到黑客的威胁，company.com一旦每个用户访问包含<script src="https//example.com/…标签的页面，他们也可以控制用户会话。

换句话说，在哪种情况下，锁定的XMLHttpRequest实际上可以提供更高的安全性吗？

互联网上无处不在。

假设您已登录Gmail。出于争议考虑，假设Gmail具有一种AJAX方法，该方法可以获取您的收件箱内容：

https://gmail.com/services/inbox/get_conversations

现在，您正在浏览网页，并进入了我的网站evil.com。

Evil.com包含一些向发出POST请求的JavaScript
https://gmail.com/services/inbox/get_conversations，它将在您登录时将cookie从发送gmail.com回gmail.com。

处的服务https://gmail.com/services/inbox/get_conversations将忠实地返回收件箱中的内容。

如果没有使用“相同来源策略”
evil.com将其锁定，则将能够读取此响应中的数据。即任何站点都可以阅读您的电子邮件。使用“相同来源策略”时，数据将返回到浏览器，但没有客户端脚本可以读取数据gmail.com（当然还有CORS允许的任何其他来源）。例如，在这种情况下，Google可能允许以下内容：

Access-Control-Allow-Origin: https://google.com

注意：以上所有内容均由我作为示例进行说明，绝不反映Google和Gmail的实际操作方式。原则上是一样的。