Hi, relocate!

3 Mal Ja: Ja, AJAX über Domänengrenzen hinweg funktioniert aufgrund der Same Domain Policy nicht. Ja, JSONp funktioniert so, dass ein Script von einer fremden Domain eingebunden wird und dieses eine Funktion in der Seite aufruft, die mit den entsprechenden Daten etwas macht*. Ja, das ist ein potentielles Sicherheitsproblem - man sollte nur Scripte von Domains aufrufen, die man sehr gut kennt, zum Beispiel seine eigene.

*Das funktioniert dann so:

Seite, die aufruft:
<script src="text/javascript">
mach_was_mit_den_daten(daten){
   ...
}
</script>
<script src="//server.der.antwortet/jsonp/resource.js?callback=mach_was_mit_den_daten" type="text/javascript"></script>

Server, der antwortet:
mach_was_mit_den_daten({daten});

Dabei wird der Callback-Name üblicherweise durch einen zufälligen String ersetzt, um zu vermeiden, dass ein Angreifer eine Antwort mit dem generischen Namen verwendet und so die in der Seite vorhandene Funktion benutzt, was einem die Möglichkeit gibt, zu prüfen, ob Inhalte im kritischen Bereich durch die Funktion geändert wurden oder nicht.

Gruß, LX