json hijack如何丢掉referer

请叫我大神 | 2012-08-08 01:37

</script>

func(str){

  alert(str)

}

</script>

<script src=http://www.xxx.com/xxx.cgi?callback=func ></script>


这种的攻击,如果http://www.xxx.com/xxx.cgi?callback=func 之针对referer 为 xxx.com域或者referer为空的才能出数据。如何绕过?

目前已知的是用一些跨协议的方法,比如https等,有更好的方法么?