Какой смысл Антимеждоменной политики?

Когда разрешено выполнение междоменных сценариев (или взломано умным Javascripter), веб-страница может получить доступ к данным с другой веб-страницы. Пример: joeblow.com может получить доступ к вашему Gmail, пока у вас открыт mail.google.com. joeblow.com может читать вашу электронную почту, спамить ваши контакты, подделывать почту от вас, удалять вашу почту или любое количество плохих вещей.

Вот вам различие: междоменный AJAX позволяет вредоносному сайту выполнять действия в вашем браузере от его имени, в то время как JSON-P позволяет вредоносному серверу вмешиваться в страницы одного домена ( и заставить браузер делать что-то с этим доменом от вашего имени), но (решающий момент) только в том случае, если обслуживаемая страница старалась изо всех сил загружать вредоносную полезную нагрузку.

Итак, да, JSON-P имеет некоторые последствия для безопасности, но они строго запрещены той частью веб-сайта, которая их использует. Разрешение общего междоменного AJAX открывает гораздо больше червей.

Фактическая проблема междоменного доступа огромна. Предположим, SuperBank.com внутренне отправляет запрос на http://www.superbank.com/transfer?amount=100&to=123456 на перевод 10 000 долларов на счет номер 123456. Если я смогу перенаправить вас на свой веб-сайт, и вы вошли в систему в SuperBank, все, что мне нужно сделать, это отправить запрос AJAX в SuperBank.com, чтобы перевести тысячи долларов с вашего счета на мой.

Причина, по которой JSON-P приемлем, заключается в том, что злоупотребление им совершенно невозможно. Веб-сайт, использующий JSON-P, в значительной степени объявляет данные общедоступной информацией, поскольку этот формат слишком неудобен, чтобы его можно было использовать иначе. Но если неясно, являются ли данные общедоступной информацией, браузер должен предположить, что это не так.