漫談 JSONP 的 XSS 攻擊風險

JSONP 是解決跨網域 JavaScript 呼叫的古老方法，簡單有效又不挑瀏覽器，至今仍是我常用的兵器之一。最近在想一個問題，JSONP 呼叫時由客戶端指定 Callback 函式名稱，是一個可以注入惡意程式碼的管道，有否存在 XSS 攻擊的風險？需不需要積極防護？ 經過嘗試，發現要透過 JS...