JSONP安全防御要点

• 严格安全地实现CSRF方式调用JSON文件：限制Referer、部署一次性token等。
• 严格安装JSON格式标准输出Content-Type及编码（Content-Type: application/json; charset=utf-8）。
• 严格过滤callback函数名及JSON数据的输出。
• 严格限制对JSONP输出callback函数名的长度（例如防御上面Flash输出的方法）。
• 其他一些比较“猥琐”的方法：例如在callback输出前加入其他字符（如/**/、换行符等）这样不影响JSON文件加载，又能一定程度预防其他文件格式的输出。Gmail就曾使用AJAX的方式获取JSON，通过在输出JSON之前加入while(1);这样的代码防止JavaScript远程调用。