Da quanto ho capito, la tecnica JSON-P genera un tag script nel DOM di una pagina HTML per superare le restrizioni di origine singola imposte all'API JavaScript XMLHttpRequest per le chiamate AJAX ai servizi Web che non supportano CORS . Di solito, lo script incorporato in questo modo contiene solo una richiamata e in questo modo trasferisce il carico utile JSON a cui sono interessato. Tuttavia, AFAIK il servizio JSON-P chiamato potrebbe anche fornire un codice JavaScript arbitrario e in questo modo dirottare la mia pagina web. / p>
Mi chiedo se devo davvero fidarmi del provider di servizi JSON-P per non farlo? Oppure le librerie e / oi browser JavaScript disinfettano le risposte JSON-P e in questo modo prevengono questo tipo di attacchi?
Ad esempio per la funzione JQuery ajax , l'uso di JSON-P è abilitato impostando l'aspetto piuttosto innocuo attributo dataType: 'jsonp'
- quindi forse questo tipo di chiamate non è così male come penso che siano?