远程JSON什么的...

hello2crawler

我是小白, 最近刚刚看到JSON什么的.. 有这么个疑问:
浏览器因为安全问题不让javascript调用远程JSON可以理解, 但是用javascript写个<script> src指向远程就行了? 这到底是为啥马? 这安全措施除了让人写代码烦一点外究竟有什么效果啊!! 就差这么两行就绕过去了, 别说小人连君子逗她嘛防不了阿!!

holywind

LZ该直接贴代码

王都楼真悟

script标签的src确实可以绕过js跨域访问的问题，但是有两个问题，一是很多应用的请求都是动态的，这样做很难在不同情况下根据需求得到数据；二是这样做并不能读取XML数据，只能读取JSON

Kaiyuki

因为禁止跨域的策略并不是为了防你远程JSON，设计禁止跨域的策略的时候JSON还没发明出来呢。

而且现在：
1、纯粹的JSON是很难通过插入<script>标记来远程调用的；
2、成熟的框架一般不允许通过GET方法请求JSON；
3、远程请求有安全问题是因为请求的一方具有主动性，被请求的一方处于被动，而通过<script>标记来调用的远程代码的行为是不受调用方控制的，这样一来调用方就失去了本有的主动性，变成了被动，而被调用方反而掌握了主动性——也就是说通过<script>来实现远程调用并且尝试干些坏事的话反而存在搬起石头砸自己脚的风险。