Комментарии 4
По поводу JSONP. Я думаю, стоит сказать, что JSONP всегда работает так, как могла бы работать комбинация из
Access-Control-Allow-Origin: *
и Access-Control-Allow-Credentials: true
.+2
То есть? В статье как раз сказано, что эти заголовки несовместимы (креды не отправляются). А для защиты jsonp нужны токены (например, как anti-CSRF).
0
Вот именно. В CORS они не совместимы — а в JSONP то поведение, от которого защитились в CORS, работает «из коробки».
0
Если так извернуть задачи решения данных технологий — то да. Я к чему, jsonp — может быть и не кроссдоменный. Т.е. он изначально не решал вопрос кроссдоменной работы, просто оказался удобным. А CORS — именно кроссдоменная работа (с OPTIONS, все дела). Так что по мне сложно сравнивать эти две технологии, за исключением частного случая применения JSONP для кроссдоменной работы.
+3
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
(Не)безопасный frontend