关于jsonp的安全性

jsonp本身没什么危险，但是用了第三方的，就很危险了。

比如很流行的ip、城市获取的接口。都是jsonp的形式。

测试一下：
先写一个jsonp 测试接口

fmt.Fprintf(w, `var _data = {"cip": "183.14.135.181", "cid": "440300", "cname": "广东省深圳市"};
(function(){alert('我是不安全的信息')})()`)

然后用xyios访问下jsonp。

xyios({
    url: 'http://localhost:10062/api/wap/testJSonp',
    jsonp: true,
    val: 'returnCitySN ',
}).then(e=>{
    console.log(e)
})

得到了结果

然后

执行自定义内容

弹窗这是一个演示，里面可以获取用户的信息， 账号的密码， 可以不定时插入广告等....

--END--