简而言之，所有AJAX请求（和跨窗口脚本）都应遵循Same Origin
Policy。JSONP（带填充的JSON）不受相同来源政策的约束，因为它涉及将来自外部域的脚本添加到DOM，脚本本身包含对客户端上已经存在的已知函数的调用，JSON为函数调用的参数。

JSONP无法直接返回HTML或XML，但它可以传递包含HTML或XML数据字符串的对象，而该对象又可以添加到DOM或由客户端解析。

例如，JSONP可能返回：

jsonp_callback({"Errors":"none","Data":"<div id='externalWidget'>Hello!</div>"});

当将此脚本添加到页面时，该函数jsonp_callback将以JSON对象作为其参数执行。然后，该函数将HTML代码添加到页面中。

还有其他方式可以实现您想要的。例如，如果客户端不需要以任何方式处理数据，则可以通过HTML文档提供一个由客户端页面填充的小部件：

<iframe id="widget" src="http://mysite.com/widget/v1/" />

如果确实需要操纵数据，则将受到上述“同一个起源策略”的阻止。