为什么跨域 JSONP 安全，而跨域 JSON 不安全？

Question

我在连接最近了解 JSONP 的一些点时遇到了困难。我的理解是：

• 由于同源政策，禁止任何内容（包括 JSON）的跨域 XmlHttpRequest。这可以防止 XSRF。
• 您可以拥有一个带有返回 JSONP 的 src 的脚本标记 - 一些 JSON 填充在对 Javascript 函数的调用中（例如“Foo”）。
• 您可以在页面上实现“foo”，当 JSONP 调用时，该页面将被调用返回数据，然后可以使用函数传递的 JSON 数据执行操作

为什么通过 JSONP 接收跨域数据可以，但通过 JSON 接收跨域数据就不行？

是否存在这样的假设：JSON 倾向于允许 XSRF 而 JSONP 则不允许？如果是这样，除了 JSONP 是某种事实上的数据格式，永远不会提供支持 XSRF 的数据之外，还有什么原因吗？为什么选择 JSONP 而不是 XML 上的任意根标记？

预先感谢您的回答，请在未能解决这个问题后让我的大脑再次运转。

Answer 1

我理解这个问题是关于为什么浏览器认为 JSONP 安全，而不是关于它是否安全（事实并非如此）。我将逐步解答这个问题。

常规 AJAX

为了执行常规 AJAX 请求，浏览器创建一个 XHR 对象，将其指向 URL 并提取数据。 XHR 对象仅信任来自同一域的数据。这是一个硬限制。在当前的浏览器中无法绕过它（编辑 - 您现在可以使用 CORS）。

解决方案 - 不要使用 XHR

由于 XHR 受相同域策略的约束，我们不能使用 XHR 进行跨域 AJAX。幸运的是，还有其他方法可以访问远程服务器。例如，我们可以将图像标签附加到页面。我们还可以附加一个脚本标签，并为其指定一个指向远程服务器的 src 属性。例如，我们可以从 CDN 中提取 JQuery 并期望它能够工作。

JSONP 的工作原理。

当我们发出 JSONP 请求时，我们的代码动态地将脚本标记附加到页面。 script 标签有一个 source 属性，该属性指向远程 JSONP API url，就像您从 CDN 插入脚本一样。

服务器返回的 JSONP 脚本包装在函数调用中。下载脚本后，该函数将自动执行。

这就是为什么我们必须告诉 JSONP 我们想要包装脚本的回调函数的名称。一旦脚本下载完毕，就会调用该函数。

安全问题

这里存在一些相当大的安全问题。您正在下载的脚本可能会控制您的页面并使您的用户面临风险。 JSONP 对于您的用户来说并不安全，它只是没有被 Web 浏览器阻止。 JSONP 实际上是我们正在利用的一个浏览器漏洞。谨慎使用。

如果使用得当，JSONP 是相当棒的。

Answer 2

我不知道 JSONP 是安全的观念是如何产生的，但是看看

由于这个原因，JSON-P 被许多人视为不安全和 hacky
跨域 Ajax 的方法，并且有充分的理由。作者必须是
努力只对远程 Web 服务进行此类调用
控制或隐式信任，以免使用户受到影响
伤害。

和

该提案中最关键的部分是浏览器供应商必须
开始对接收 JSON-P 的脚本标签强制执行此规则
内容，并在任何内容上抛出错误（或至少停止处理）
不合格的 JSON-P 内容。

均引用自 http://json-p.org/ 。

其他链接，其中包含有关 JSONP/安全性的一些有用信息：

• http://beebole.com/en/blog/general/sandbox-your-cross-domain-jsonp-to-improve-mashup-security/
• Ajax 的跨域限制 - JSON
• JSONP 与真正的 REST 的含义

所有这些都告诉我们有两件事 - 基本上它不被认为是“安全”的，但是有一些关于如何使其“更安全”的想法......尽管大多数想法依赖于标准化和内置于浏览器等中的特定检查逻辑。