利用<script>标签没有跨域限制的漏洞。

为什么会有同源限制呢？

没有同源（同协议、同域名、同端口）策略，就天下大乱了。

如果没有同源策略，不同源的数据和资源（如HTTP头、Cookie、DOM、localStorage等）就能相互随意访问，根本没有隐私和安全可言。为了安全起见和资源的有效管理，浏览器当然要采用这种策略。

一个重要原因就是对cookie的保护

cookie 中存着sessionID 。黑客一旦获取了sessionID 并且在有效期内 就可以登录

这里我们可以简单的认为sessionID 全等于 账户加密码

想想当我们访问了一个恶意网站 如果没有同源策略 那么这个网站就能通过js 访问document.cookie 得到用户关于的各个网站的sessionID 其中可能有银行网站http://qq.comgithub blabla....

通过已经建立好的session连接进行攻击的 这里有一个专有名词 美名曰 CSRF 攻击 题主可以去查 还有需要注意的是同源策略无法完全防御CSRF 这里需要服务端配合

什么是JSONP？

首先提一下JSON这个概念，JSON是一种轻量级的数据传输格式，被广泛应用于当前Web应用中。JSON格式数据的编码和解析基本在所有主流语言中都被实现，所以现在大部分前后端分离的架构都以JSON格式进行数据的传输。

那么JSONP是什么呢？

首先抛出浏览器同源策略这个概念，为了保证用户访问的安全，现代浏览器使用了同源策略，即不允许访问非同源的页面。这里大家只要知道，在ajax中，不允许请求非同源的URL就可以了，比如www.a.com下的一个页面，其中的ajax请求是不允许访问www.b.com/c.php这样一个页面的。

JSONP就是用来解决跨域请求问题的，那么具体是怎么实现的呢？

JSONP原理

首先，因为ajax无法跨域，然后开发者就有所思考

其次，开发者发现， 标签的src属性是可以跨域的

把跨域服务器写成 调用本地的函数 ，回调数据回来不就好了？

json刚好被js支持（object）

调用跨域服务器上动态生成的js格式文件（不管是什么类型的地址，最终生成的返回值都是一段js代码）

这种获取远程数据的方式看起来非常像ajax，但其实并不一样

便于客户端使用数据，逐渐形成了一种非正式传输协议，人们把它称作JSONP。

传递一个callback参数给跨域服务端，然后跨域服务端返回数据时会将这个callback参数作为函数名来包裹住json数据即可。

例子

【栗子一】

文件：remote.js
代码：

alert('我是远程文件');

本地:

<script type="text/javascript" src="跨域服务器/remote.js"></script>

这边做的就是直接引入一个js，页面将会弹出一个提示窗体，显示 我是远程文件。

【栗子二】

跨域服务器
文件：remote.js
代码：

localHandler({"result":"我是远程js带来的数据"});

本地

<script type="text/javascript"> 
    var localHandler = function(data){
        alert('我是本地函数，可以被跨域的remote.js文件调用，远程js带来的数据是：' + data.result); 
    }; 
</script> 
<script type="text/javascript" src="跨域服务器/remote.js"></script>

这边做的是
1、本地定义一个函数
2、引入一个js
3、被引入的js里面，调用这个函数

页面将会弹出一个提示窗体。显示本地函数被跨域的远程js调用成功，并且还接收到了 我是远程js带来的数据。

新问题出现了：让远程js知道它应该调用的本地函数叫什么名字呢？毕竟是jsonp的服务者都要面对很多服务对象，而这些服务对象各自的本地函数都不相同啊？

【栗子三】

跨域服务端提供的js脚本动态生成，这样调用者可以传一个参数过去告诉跨域服务端“我想要一段调用XXX函数的js代码，请你返回给我”，于是跨域服务器就可以按照客户端的需求来生成js脚本并响应了。

跨域服务器
文件：flightResult.php
代码：

flightHandler({
    "code":"CA1998",
    "price": 1780,
    "tickets": 5
});

本地

<script type="text/javascript"> 
    // 得到航班信息查询结果后的回调函数 
    var flightHandler = function(data){
        alert('你查询的航班结果是：票价 ' + data.price + ' 元，' + '余票 ' + data.tickets + ' 张。');
    }; 
    // 提供jsonp服务的url地址（不管是什么类型的地址，最终生成的返回值都是一段javascript代码） 
    var url = "跨域服务器/flightResult.php?code=CA1998&callback=flightHandler";
    // 创建script标签，设置其属性 
    var script = document.createElement('script'); 
    script.setAttribute('src', url); 
    // 把script标签加入head，此时调用开始 
    document.getElementsByTagName('head')[0].appendChild(script); 
</script>

这次我们做的是
1、动态创建脚本
2、url中传递了一个code参数，服务器去做查询CA1998次航班的信息，callback参数告诉服务器，我的本地回调函数叫做flightHandler
3、跨域服务端调用这个函数flightHandler 页面将会弹出一个提示窗体。把票价、余票以及张数给传递回来了。

那么服务器到底做了什么呢？ 说到底，就是拼接字符串。

// 数据

$data = [
    "name":"anonymous66",
    "age":"18",
    "like":"jianshu"
];
// 接收callback函数名称
$callback = $_GET['callback'];
// 输出
echo $callback . "(" . json_encode($data) . ")";

与AJAX的区别是什么？

ajax和jsonp本质上是不同的东西。
ajax的核心是通过XmlHttpRequest获取非本页内容
jsonp的核心则是动态添加<script>标签来调用服务器提供的js脚本。