我最近才知道，jQuery的 $。的getJSON（）是很不安全呼吁不受信任的网址。那么 $。获得（）？是jQuery的 $。获得（）安全的，当URL参数来自不受信任的来源，或者是这个不安全的称呼？

这想出了一个安全code审查我正在做，检查XSS漏洞。例如code模式：

  $。获得（URL，函数（...）{...}）
 

这是否code模式创建一个XSS漏洞，如果攻击者选择网​​址恶意？

请假定该函数将处理来自AJAX请求的响应安全，以及网​​址来自不受信任来源（例如，其他一些用户），并且可以完全由对手控制。

我关心的：如果网​​址选择攻击者，可以攻击者选择的恶意URL（例如，含有回调= ，并指向自己的网站，或一些聪明的那样），导致jQuery来猜测数据类型应该是JSONP，启用JSONP，插入脚本标签到文档中，并引入XSS漏洞的