Supponendo che entrambi utilizzino l'autenticazione di sessione, la convalida del token e https forzato:
C'è qualche differenza nella sicurezza tra l'invio di dati tramite un popup JS < > ajax endpoint e un modulo standard per la pagina Web?
La Politica Same-Origin non distingue tra HTML e JavaScript nel contesto dell'accesso ai dati . Un modulo HTML esiste all'interno del DOM all'interno del contesto del sito Web e JavaScript è associato a questo stesso contesto. In entrambe le implementazioni Cross-site Scripting può essere utilizzato per minare la politica Same-Origin e ottenere informazioni sensibili.
Leggi altre domande sui tag javascript tls