为什么对XMLHttpRequest的同源策略

Question

为什么浏览器应用相同的起源政策XMLHttpRequest的？这对于开发人员确实不方便，但它似乎它实际上阻止黑客确实不大。 有解决方法，但它们仍然可以包括从外部源的JavaScript（后面JSONP的功率）。

好像在这主要是相通的网页过时的“功能”。

Answer 1

由于一个XMLHttpRequest传递用户的认证令牌。如果用户登录到example.com与基本身份验证或一些饼干，然后参观attacker.com，后者的网站可以创建一个XMLHttpRequest到example.com，与充分授权的用户和读取任何私人页面，用户可以（当时转发给攻击者）。

由于把秘密凭证在Web应用程序的页面是停止简单的跨站请求伪造攻击的方式，这意味着attacker.com可以采取任何网页上的动作，用户可以在example.com没有任何同意或从互动他们。全球XMLHttpRequest是全球跨站点脚本。

（即使你有一个版本的XMLHttpRequest的未通过认证，仍存在问题。例如，攻击者可以发送请求出您的Intranet等非公有制机读它可以从中下载任何文件这可能不意味着大众消费。<script>标签已经从这种漏洞的有限形式的遭遇，但XMLHttpRequest的的完全可读的反应会泄漏各类文件，而不是几个不幸的是制作者可以解析为JavaScript代码。）