Warum verwenden Browser Richtlinien von Same-Origin, wenn Problemumgehungen wie JSONP und CORS vorhanden sind?
Diese Frage ist eine Art Duplikat von:Warum gleiche Ursprungsrichtlinie für XMLHttpRequest
Diese Antwort ist jedoch nicht zufriedenstellend, da sie nicht die Tatsache anspricht, dass es Problemumgehungen gibt (wie in der Frage angegeben). Die Antwort behandelt nur Sicherheitsbedenken, die direkt mit XMLHttpRequest zusammenhängen, aber diese Probleme treten bei JSONP immer noch auf (und möglicherweise bei CORS, nicht sicher). Die Frage bleibt also weiterhin: Warum gibt es eine strikte Same Origin-Richtlinie, wenn es Workarounds wie JSONP gibt, die vermutlich noch schlimmer sind (weil sie ausführbar sind als statische Inhalte)?
Hier ein Beispiel: Company.com möchte einen AJAX-Aufruf für eine ungeschützte Ressource durchführen, z. B. eine einfache öffentliche API für die Suche nach Daten. Company.com ist sich bewusst, dass dies unsicher sein kann. Daher werden die Daten sorgfältig gesäubert, um sicherzustellen, dass es keine witzigen Geschäfte gibt. Da XMLHttpRequest dies jedoch nicht zulässt, muss Company.com JSONP verwenden. Dies würde jedoch das Löschen von Daten verhindern und könnte dazu führen, dass ein Angreifer willkürliches Javascript auf die Seite einfügt. Wie ist das eine bessere Lösung?
Ein weiteres Beispiel: Company.com weist eine Sicherheitslücke auf, und ein Angreifer kann JavaScript in die Seite einfügen, die dann von einigen Benutzern angezeigt werden kann (dies kann auf millionenfache Weise geschehen; es ist wahrscheinlich die häufigste Website-Attacke). Mit einer strengen Richtlinie für identische Herkunft kann der Angreifer den ganzen Tag mit der Seite herumspielen, aber nicht "nach Hause telefonieren", was ein wichtiges Detail ist, da dies bedeutet, dass alle Ihre Daten sicher sind. JSONP (und Image-Tags) verhindern dies jedoch, indem der Angreifer alle Ihre persönlichen Daten von der Seite kratzen und an einen beliebigen Ort senden kann. Dies ist auch bei CORS noch Realität, da ich meinem Schurken-Server mitteilen kann, dass eingehende XS-Anforderungen von einer beliebigen Domain zugelassen werden sollen.
it anderen Worten, in welchem Szenario bietet eine gesperrte XMLHttpRequest tatsächlich ein höheres Maß an Sicherhei