На самом деле это может быть чем-то неприятным, и у злоумышленника есть способы ввести источник другими способами, но якобы это ограничение существует для решения именно той проблемы, о которой вы упоминаете.
позволяет вамизвлекать данные в нескольких форматах от вызова AJAX. Например:
$.get(sourceUrl, data, callBack, 'json');
может быть использован для получения и анализа кода JSON изsourceUrl
.
JSON - это простой код JavaScript, используемый для описания данных. Это может быть обнаружено интерпретатором JavaScript, чтобы вернуть структуру данных.
Обычно плохая идея оценивать код из удаленных источников. Я знаю, что спецификация JSON специально не допускает объявления функций, но нет причины, по которой вы не могли бы включить ее в код и иметь небезопасный и наивный потребитель скомпилировать / выполнить код.
Как jQuery справляется с анализом? Это оценивает этот код? Какие меры предосторожности существуют для предотвращения взлома?sourceUrl
и распространение вредоносного кода?