Почему межсетевой вызов AJAX запрещен?

За исключением JSONP, почему одна и та же политика домена соблюдается?

Ответ 1

Одинаковая политика происхождения была реализована по соображениям безопасности; цитируя соответствующее предложение из wikipedia:

Этот механизм несет конкретный значение для современной сети приложения, которые сильно зависят по HTTP файлам cookie для аутентифицированных сеансов пользователя, так как серверы действуют на основе файла cookie HTTP информации для выявления информации или сменить состояние действия.
Строгое разделение между содержанием, предоставленным несвязанным сайты должны поддерживаться на клиенте для предотвращения потери данных конфиденциальности или целостности.

В принципе, вы не хотите, чтобы какой-либо сайт (например, любой веб-сайт, на котором вы могли заниматься серфингом), и мы все знаем, что люди иногда приходят на веб-сайты, которым вы не должны доверять), чтобы иметь доступ к данным из любого другого ( как ваша веб-почта или учетная запись в социальной сети).

Ответ 2

Из-за той же политики происхождения.

Политика того же происхождения существует для предотвращения злонамеренного использования ресурсов. Если бы не было правил, регулирующих доступ к междоменным сценариям, было бы тривиально нанести ущерб не подозревающим пользователям. Например, злонамеренному веб-сайту было бы легко захватить информацию о сеансе для другого сайта и выполнить действия от вашего имени.

Для одного примера рассмотрим это:

Вы заходите в свою любимую программу веб-почты - это может быть Gmail, почта Yahoo, Hotmail или программа внутренней почты частной компании.

После входа и проверки вашей электронной почты вы нажимаете ссылку на вредоносный сайт, который открывается в новой вкладке.

Вредоносный сайт проверяет http реферер и видит, что вы пришли с вашей учетной записи электронной почты.

Используя междоменные сценарии, вредоносный сайт переходит обратно на вкладку вашей электронной почты и загружает вашу адресную книгу и все ваши электронные письма (или столько, сколько он может получить, прежде чем закрыть всплывающее окно).

Впоследствии, после сканирования ваших электронных писем на наличие паролей, финансовых данных и других конфиденциальных материалов, он отправляет всем вашим контактам электронное письмо от вас, подтверждающего тот же сайт. И это только один пример. Более коварный сюжет будет заключаться в том, что злоумышленник будет использовать ваш браузер для отслеживания внутренней сети вашей компании, передавая секретную информацию вам как невольному сообщнику!

Подробнее на http://jimbojw.com/wiki/index.php?title=Introduction_to_Cross-Domain_Ajax