безопасные кроссдоменные запросы

яваскриптом можно делать кроссдоменные запросы, используя технику JSONP, но она небезопасна, поскольку посторонний скрипт добавляется в контекст страницы. Многое изменится благодаря гениальному хаку: CSSHttpRequest позволяет получить данные с другого домена, ничем не рискуя! Нет, конечно, вектор атаки можно придумать и для этого случая, но возможностей у злоумышленника намного меньше

via Simon Willison

Артемий Трегубенко, 23 октября 2008
javascript