ajax в строгом смысле (xmlhttprequest), как правило, обычно считается ограниченным одним и тем же доменом, но многое (если не все) зависит от того, как браузеры реализуют модель безопасности.Одна вещь, которую я заметил, заключается в том, что Firefox будет выдавать междоменный запрос даже с обычным (не междоменным) ajax, но он блокирует поступление всего ответа (похоже, он прерывает запрос, что приводит к коду ответа http 206).это означает, что, по крайней мере, в Firefox «вызовы записи» должны быть защищены от CSRF-атак даже для обычного ajax.
рядом с такими сбоями браузера, как большинство браузеров также поддерживают ' междоменное совместное использование ресурсов ', которое также можно использовать с xmlhttprequests.когда все сделано правильно, междоменный ajax может быть довольно безопасным.
, но принятие CORS, похоже, затрудняется успехом ' jsonp ';динамически вставленные сценарии, содержащие данные в формате json, обернутые в параметр обратного вызова, которые не ограничены одним и тем же принципом домена.сделать это безопасным способом (т. е. запретить злоумышленнику динамически вставлять и выполнять сценарий с сайта-жертвы для вошедшего в систему пользователя, для которого cookie-файлы действительно будут отправляться), несколько сложнее (требующий токен, подобный сеансу, в каждом запросекоторого нет в cookie).
вывод: операции чтения с использованием традиционного ajax безопасны, для записи и jsonp вам придется проделать дополнительную работу, чтобы быть в безопасности.если вы действительно хотите перейти на несколько доменов, вам, вероятно, следует рассмотреть CORS как альтернативу jsonp.