jQuery的$.get()可以安全地调用不受信任的URL吗？

我最近才知道jQuery的$ .getJSON()是 not safe to call on an untrusted URL. $ .get()呢？当URL参数来自不受信任的来源时，jQuery的$ .get()可以安全地调用，还是不安全的？

这是在我正在做的安全代码检查中出现的，以检查XSS漏洞。示例代码模式

$.get(url,function (...) { ... })

如果攻击者恶意选择网址，此代码模式是否会创建XSS漏洞？

请假设该函数将安全地处理来自AJAX请求的响应，并且该URL来自不可信源(例如其他用户)，并且可以被对手完全控制。

我的关注：如果攻击者选择了url，攻击者是否可以选择一个恶意URL(例如，包含callBACk =？并指向自己的站点，或者这样的一些聪明的东西)，导致jQuery猜测数据类型应该是JSONP ，启用JSONP，将脚本标签插入文档，并引入XSS漏洞in the same way that getJSON() does？ (由于我没有将明确的dataType参数传递给$ .get()，所以jQuery将猜测数据类型为described in the docs.我不知道这是什么安全性的影响。)

我在代码审查中遇到了这种代码模式，我试图了解这是否是一个潜在的漏洞。我不是在寻找替代方法这个代码可以写;相反，我想知道这种代码模式是否安全。

由于威胁模式有点棘手，让我举个例子来帮助我们更好地理解这一点。假设Bob是服务的用户，他可以提供与他的个人资料相关联的URL。假设当Alice在浏览器中访问Bob的个人资料页面时，页面上的Javascript代码将使用Bob提供的URL，并将其作为参数传递给$ .get()。问题是，这是安全吗？鲍勃可以用这个来攻击爱丽丝吗？ Bob可以触发Alice的浏览器来执行任意的JavaScript代码，以及Alice的全部功能？当链接的问题解释时，$ .getJSON()在这种情况下是不安全的 – 但是$ .get()呢？还不安全，还是安全？

由于我有一些要求澄清的要求，请允许我以不同的方式解释/提出问题。假设我正在进行代码审查，以检查一些JavaScript代码是否包含任何XSS漏洞，我看到以下代码行：

$.get(url,function(resp) { /* do nothing */ });

假设我知道网址可以完全由攻击者控制。这是否自动成为XSS漏洞？还是这样总是安全的？或者如果答案是“这取决于”，它取决于什么？

或者，另一种想法的方式。假设我正在进行代码审查，我看到以下代码行：

$.get(url,f);

假设我知道网址可以完全由攻击者控制。我需要检查什么，以验证这是否安全(没有XSS错误)？我知道我需要检查f的代码，看它是否安全地处理响应，因为如果f不小心可能会引入XSS错误。我的问题是：我唯一需要检查的是？或者这个代码模式总是一个XSS漏洞，不管f是如何编码的？

$.get(url,function (...) { ... },'json');

$.ajax(url,{dataType: 'json',jsonp: falsE});