未阻止跨域 AJAX 请求:这是安全漏洞吗?

我花了3天时间研究如何使用XMLHttpRequest发出跨域请求。最好的选择确实是我已经使用的JSONP。

但我仍然有一个问题，我无处可寻。我阅读了数百篇帖子（包括 SO），没有人有一个好的答案（有很好的参考）。希望这里有人能帮忙。

话虽如此，我在许多网站上读到，由于安全原因，我无法从域 example.com 发出Ajax请求来 yyy.com 并获取我想要的数据。这很清楚，我对此没有任何疑问。但是问题是当我在我的本地主机中运行下面的代码时（所以我的域是"本地主机"，我不应该能够从另一个域请求任何数据）。

xhReq = new XMLHttpRequest();
xhReq.open("GET","http://domain.com.br?parameter",true);
xhReq.send(null);

当我检查Firebug Net Tab时，我意识到请求没有被阻止！显然是有要求的。我简直不敢相信。因此，我在 domain.com.br/log.php 中创建了一个文件，您可以在其中记录任何命中我的域的请求。令人惊讶的是，我向本地主机发送的所有请求都击中了我的 domain.com.br。当我尝试获取响应时，由于我的 Chrome 和 FIrebug 浏览器的同源策略，我真的无法得到它。但我真的很惊讶，尽管我无法操纵响应，但请求真的击中了网络服务器。

更令人惊讶的是，如果 domain.com.br/log.php 生成了大约 1MB 的巨大响应，我的 firebug 向我显示浏览器确实从网络服务器下载了所有 1MB 的内容，最后它显示一条消息"访问被拒绝"如预期的那样。那么，如果同一源策略禁止读取该数据，为什么要下载所有文件。

让我感到惊讶的是，我阅读的所有网站和规范都非常清楚地表明，当目标域与源域不匹配时，使用 Ajax 阻止请求。但显然，通过我的实验，请求正在完成，尽管我无法访问响应数据。

让我沮丧的是，它可能打开了一个大的安全漏洞，其中每天有数千次浏览的网站可以运行这 3 行代码并在不友好的网站中引起巨大的 Ddos 攻击，只是让用户在短时间内请求另一个网站的页面，因为浏览器不会阻止请求。

我在IE 7,8和9以及Chrome late和Firefox latest 中测试了此脚本，行为是相同的：请求已完成，浏览器下载所有响应，同时无法执行SOP。

希望有人能解释为什么规格如此错误或我理解错误！