昨天,我读了一些关于如何防止 Json Hijacking with Asp.Net MVC的好文章.规则是：永远不要通过get请求以json格式发送合理数据.通过在谷歌上进行简单搜索,您可以轻松地学习如何定义一个脚本,该脚本将用于在其身份验证cookie的帮助下从其他用途中提取数据.

但在阅读完所有这些文章之后,我不知道为什么用Ajax Jquery发布请求做Json Hijacking是不可能的.我读到Ajax请求受制于相同的源策略,但JQuery有一个属性可以执行跨域请求.

在这种情况下,是否可以在文档就绪事件中使用$.postJSON对脚本执行Json Hijacking？如果是或否,你能解释我究竟是为什么吗？

这是一堆简单的代码来做我正在思考的事情：

$.postJSON = function (url,data,callback) {
   $.post(url,callback,"json");
};

<script>
    $(function(){
       $.postJSON("/VulnerableSite/ControllerName/ActionName",{ some data parameters },function() {
         // Code here to send to the bad guy the data of the hacked user. 
         }
    });
</script>

非常感谢你.