जैसा कि हमने नीचे दी गई टिप्पणियों में चर्चा की है, वही है जो फेसबुक उनके पंजीकरण पृष्ठ के लिए करता है, हालांकि इस विधि के लिए कुछ भेद्यताएं हैं। हालांकि यह उपयोगकर्ता के लिए सुरक्षित नहीं दिखाई देगा (कोई लॉक आइकन नहीं), वास्तविक अनुरोध HTTPS पर किया जाता है। यदि आप प्राप्त पृष्ठ की संपूर्णता को नियंत्रित करते हैं, तो GET पर JSONP अनुरोध करने के बारे में कुछ भी कम सुरक्षित नहीं होगा। हालांकि, एक मैन-इन-द-बीच हमले लोड पर प्राप्त पृष्ठ को संशोधित कर सकता है, और लौटाए गए क्रेडेंशियल्स को हमलावर को भेजा जा सकता है।
प्लस साइड पर, कोई भी जो पैकेट स्नीफिंग नहीं कर रहा है, वह प्रमाण-पत्र प्राप्त करने में सक्षम होगा: एक हमले को काफी लक्षित करना होगा।
कुकीज़ के संबंध में, तकनीकी रूप से, जेएसओएनपी कुकीज़ को "वापस" कर सकता है; आप बस उन कुकीज के नाम-मूल्य जोड़ों को वापस कर देंगे जिन्हें आप सेट करना चाहते थे, और प्राप्तकर्ता पृष्ठ पर एक फ़ंक्शन सेट करें।
लेकिन जब तक ब्राउज़र <script>
अलग-अलग व्यवहार नहीं करता है, और हो सकता है, तो आप अपने JSONP प्रतिक्रिया के प्रतिक्रिया शीर्षकों का उपयोग करके सामान्य तरीके से एक कुकी सेट करने में सक्षम होना चाहिए।
हां, समीकरण से 'HTTP' ले लो। यदि आप 'HTTP' के भीतर मूल के साथ 'GET' अनुरोध करते हैं तो यह cleartext है। अन्यथा, लॉगिन पृष्ठ पर 'HTTP' से' HTTPS 'को मजबूर करने के लिए सर्वर पर पुनः निर्देश डालें। – Anders