JSONP 是否仅适用于完全公共的 API？

Question

我使用 WCF 数据服务开发了一个 API，它公开了我的网站用户的数据。

那里托管的数据属于每个用户并且不公开，因此 API 通过每个客户端唯一的 API 密钥以及基于 http 标头或 GET 参数的身份验证来保护。

现在我想知道是否应该在我的 API 上启用 JSONP。看起来这会让混搭变得更容易，但另一方面，我看到了如下的博客文章，这似乎表明 JSONP 本身是不安全的：

http://robubu.com/?p=24

我是否理解有误，或者 JSONP 确实仅适用于公共 API？

谢谢，

阿德里安

Answer 1

JSON(P)只是简单的数据格式，我认为谈论JSON的安全性是错误的。应在传输和解释 JSON 中的信息时考虑安全性。

信息可以在打包为 JSON 格式之前进行加密，也可以对整个 JSON 消息进行加密。安全性基于加密的强度，并且 JSON 可以在不安全的环境中使用。