Как стать автором
Обновить

Комментарии 4

По поводу JSONP. Я думаю, стоит сказать, что JSONP всегда работает так, как могла бы работать комбинация из Access-Control-Allow-Origin: * и Access-Control-Allow-Credentials: true.
То есть? В статье как раз сказано, что эти заголовки несовместимы (креды не отправляются). А для защиты jsonp нужны токены (например, как anti-CSRF).
Вот именно. В CORS они не совместимы — а в JSONP то поведение, от которого защитились в CORS, работает «из коробки».
Если так извернуть задачи решения данных технологий — то да. Я к чему, jsonp — может быть и не кроссдоменный. Т.е. он изначально не решал вопрос кроссдоменной работы, просто оказался удобным. А CORS — именно кроссдоменная работа (с OPTIONS, все дела). Так что по мне сложно сравнивать эти две технологии, за исключением частного случая применения JSONP для кроссдоменной работы.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.