防止javascript获取和脚本

是否存在将Javascript Get、Post请求限制到指定域的限制？ 我还可以禁用JSONP吗

我想开发一个web内容框架，人们可以在不同的页面中包含Java脚本，但我不希望这些脚本访问任何其他域

---

我熟悉firefox的“内容安全策略”，但不幸的是，它只适用于firefox。

默认情况下是“禁用”的。如果希望“允许”json，则必须添加jsonp回调。如果没有它，js就无法检索json响应。

不允许用户选择任意的Javascript，您可以让他们从已批准的脚本列表中选择，并且如果脚本未包含在正确的域中，您可以拒绝编辑吗？ 或者你可以使用某种自定义标记，不允许写-标记，而是写[include=“pluginname”]，然后你自己将其转换为脚本标记，只要找到具有给定名称的插件

---

内容安全策略在Chrome中的支持也很有限，但目前它并不是你真正想要的，因为它在市场上的支持和渗透是有限的。

好的，也许我还不够清楚。我想让人们向他们的站点添加应用程序/插件（社区为我的框架编写的插件）。这些第三方应用程序是javascript应用程序，它们在与html页面其余部分相同的上下文/页面下运行。我不想让这些Java脚本中的任何一个对另一台服务器进行脚本调用。正如你所看到的，他们可以简单地在源代码中添加一个jsonp回调，而我的用户却什么都做不了（除非他们去检查每个插件的每一行），我想也许唯一的办法就是将插件/应用程序作为类似facebook的iframe解决方案。但我不确定这是否是唯一可能的解决方案。本质上，人们为这些插件所做的是，他们正在构建自己的框架。看看netvibes和iGoogle的小部件标准。有没有开源工具可以做到这一点？也许是翻译成javascript的ruby dsl？