Yo sé que usted está pidiendo respuestas de los expertos, sólo soy un neófito, y esto es mi opinión de por qué el proxy lado del servidor no es una solución final correcta:
- La construcción de un proxy del lado del servidor no es tan fácil como no construirlo en absoluto.
- No siempre es posible como en Third Party JS widget. No va a pedirle a su editor que declare un registro DNS para integrar su widget. Y modifique el
document.domain
de sus páginas con los problemas colaterales.
- Cuando leo en el libro Third Party Javascript"requiere cargar un archivo de túnel intermediario antes de que pueda realizar solicitudes entre dominios". Al menos pones JSONP en el juego con malabarismos más difíciles.
- No es compatible con IE8, también del libro anterior: "IE8 tiene un error bastante extraño que impide que un dominio de nivel superior se comunique con su subdominio incluso cuando ambos optan por un espacio de nombres de dominio común".
- Hay varias cuestiones de seguridad que las personas han explicado en otras respuestas, incluso más que ellos, puede consultar el capítulo 4.3.2 Intercambio de mensajes utilizando los subdominios proxies del libro anterior.
Y lo más importante para mí:
- Es un hack .. como la solución JSONP, es el momento para un estándar, solución fiable, segura, limpia y confortable.
Pero, después de volver a leer su pregunta, creo que todavía no respondió, por lo Por qué esta seguridad AJAX?, de nuevo, creo, la respuesta es:
Debido a que no quieren cualquier página web que visitas para poder hacer llamadas desde su escritorio a cualquier ordenador o servidor en la intranet de su oficina
http://msdn.microsoft.com/en-us/library/cc709423(v=vs.85).aspx – user1096188
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_XMLHttpRequest Todo el libro vale la pena leerlo. – jasssonpet
@jasssonpet ¡Excelente enlace, marcado como favorito! –