Если это было разрешено, злоумышленник, которому удается внедрить Javascript на вашу страницу (с помощью эксплойта / социальной инженерии), может отправлять данные (обычно конфиденциальные), полученные от ваших клиентов, без их ведома (поскольку запросы XMLHttpRequests не требуют от пользователядействия происходят и они молчат).Это мера безопасности браузера.
JSONP - это всего лишь обход этой меры безопасности, когда вы предоставляете адресату обратный вызов и поручаете ему все, что вам вернут через этот обратный вызов.
РЕДАКТИРОВАТЬ: Примеры угроз безопасности: вы входите в свою учетную запись электронной почты через Интернет (например, Gmail или Yahoo).Вы продолжаете просмотр (в другой вкладке или даже в текущей вкладке) на другой вредоносный сайт.Этот вредоносный сайт пытается сделать XHR для того же сайта вашей учетной записи электронной почты.Поскольку XHR зависит от вас, и поскольку это запрос на стороне клиента / браузера, этот запрос будет иметь тот же сеанс, который вы использовали для входа в систему, и, следовательно, этот веб-сайт может делать с вашей учетной записью все, что угодно (отправлять спам-почту черезваша учетная запись, загрузить ваши контакты, ... и т. д.).Другой пример: на форуме кому-то удается внедрить Javascript с XHR на другой сайт.Теперь он может украсть список контактов (и, возможно, затем удалить их) у всех людей, которые посещают его пост на форуме (используя тот же сеанс вашей электронной почты в сети).Не говоря уже о том, что он может поделиться сессией участников форума, посетивших его пост, чтобы получить любые данные, которые они имеют на форуме (личные сообщения / friends..etc).Затем он может отправить эти данные на свой сервер, чтобы сохранить их.