क्यों क्रॉस-डोमेन AJAX कॉल की अनुमति नहीं है?

Question

JSONP के अलावा क्यों एक ही डोमेन नीति का पालन किया जा रहा है?

Answer 1

सुरक्षा कारणों से वही मूल नीति लागू की गई है; wikipedia से कोई प्रासंगिक वाक्य उद्धृत:

इस तंत्र, आधुनिक वेब अनुप्रयोगों है कि बड़े पैमाने पर HTTP कुकी निर्भर प्रमाणीकृत उपयोगकर्ता सत्र बनाए रखने के लिए के लिए एक विशेष महत्व भालू के रूप में सर्वर HTTP कुकी जानकारी के आधार पर कार्य संवेदनशील जानकारी प्रकट करने या राज्य-बदलते क्रियाओं को प्रकट करने के लिए।
असंबद्ध साइटों द्वारा प्रदान की गई सामग्री के बीच एक सख्त अलगाव साइट साइट पर डेटा गोपनीयता या अखंडता के नुकसान को रोकने के लिए बनाए रखा जाना चाहिए।

मूल रूप से, आप किसी भी वेबसाइट नहीं करना चाहते हैं (किसी भी वेबसाइट की तरह आप पर सर्फिंग जा सकता है - और हम सभी लोग कभी-कभी वेबसाइटों है कि तुम पर भरोसा नहीं करना चाहिए पर पहुंच पता) डेटा का उपयोग करने में सक्षम होने के किसी भी अन्य (जैसे आपका वेबमेल, या सोशल नेटवर्क पर खाता) से।

Answer 2

Same origin policy की वजह से।

समान मूल नीति संसाधनों के दुर्भावनापूर्ण उपयोग को रोकने के लिए मौजूद है। यदि क्रॉस-डोमेन स्क्रिप्ट एक्सेस को नियंत्रित करने वाले कोई नियम नहीं थे, तो असुरक्षित उपयोगकर्ताओं पर सभी तरह के विनाश को तोड़ना मुश्किल होगा। उदाहरण के लिए, एक दुर्भावनापूर्ण वेबसाइट के लिए आपकी सत्र जानकारी किसी अन्य साइट पर ले जाने और आपकी तरफ से क्रियाएं निष्पादित करना आसान होगा।

एक उदाहरण के लिए, इस पर विचार करें:

आप अपने पसंदीदा वेबमेल कार्यक्रम के लिए जाना - यह जीमेल, याहू मेल, हॉटमेल, या एक निजी कंपनी के आतंरिक वेबमेल कार्यक्रम हो सकता है।

साइन इन करने और अपने ईमेल की जांच करने के बाद, आप किसी नए टैब में खुलने वाली दुर्भावनापूर्ण साइट के लिंक पर क्लिक करते हैं।

दुर्भावनापूर्ण साइट http रेफरर की जांच करती है और देखती है कि आप अपने ईमेल खाते से आए हैं।

क्रॉस-डोमेन स्क्रिप्टिंग का उपयोग करके, दुर्भावनापूर्ण साइट आपके ईमेल टैब में वापस आती है और आपकी पता पुस्तिका और आपके सभी ईमेल डाउनलोड करती है (या फिर भी पॉपअप को बंद करने से पहले इसे प्राप्त कर सकते हैं)।

इसके बाद, पासवर्ड, वित्तीय डेटा और अन्य संवेदनशील सामग्री के लिए अपने ईमेल स्कैन करने के बाद, यह आपके सभी संपर्कों को उसी साइट का समर्थन करने से आपके द्वारा एक ईमेल भेजता है। और यह सिर्फ एक उदाहरण है। एक और कपटी साजिश में आपकी कंपनी का इंट्रानेट मकड़ी करने के लिए आपके ब्राउज़र का उपयोग करके एक दुर्भावनापूर्ण तृतीय पक्ष शामिल होगा, जो आपके साथ वर्गीकृत जानकारी को अवांछित सहयोगी के रूप में लीक करेगा!

http://jimbojw.com/wiki/index.php?title=Introduction_to_Cross-Domain_Ajax