- 严格安全地实现CSRF方式调用JSON文件:限制Referer、部署一次性token等。
- 严格安装JSON格式标准输出Content-Type及编码(Content-Type: application/json; charset=utf-8)。
- 严格过滤callback函数名及JSON数据的输出。
- 严格限制对JSONP输出callback函数名的长度(例如防御上面Flash输出的方法)。
- 其他一些比较“猥琐”的方法:例如在callback输出前加入其他字符(如/**/、换行符等)这样不影响JSON文件加载,又能一定程度预防其他文件格式的输出。Gmail就曾使用AJAX的方式获取JSON,通过在输出JSON之前加入while(1);这样的代码防止JavaScript远程调用。