这种方法有什么警告吗？（安全方面）

是的，它不是很彻底，您可以从新的窗口对象中获取构造函数的新实例：

XMLHttpRequest = null;

var iframe = document.createElement('iframe');
iframe.style.display = 'none'; // optional
document.body.appendChild(iframe);
var XHR = iframe.contentWindow.XMLHttpRequest;
console.log(new XHR());

您必须覆盖更多内容以确保XMLHttpRequest无法访问 a，这只是执行此操作的一种方法。

对于 XSS 保护，只需使用内容安全策略并仅使用来自受信任来源的受信任库。

即使这可行并且您可以阻止 JavaScript 执行 XMLHttpRequests - 如@Alexander 所示，情况并非如此（ActiveXObject 将是另一种选择） - 它并没有真正限制 XSS 的危险。

攻击者仍有多种可能性：

• 污损
• 网络钓鱼：例如，添加一个登录表单，它将输入的数据发送到攻击者控制的服务器
• 提取数据：虽然攻击者无法通过 XMLHttpRequest 发送获取的数据，但他们可以通过元标记刷新强制重定向并以这种方式发送数据。
• CSRF：可以如上所述获取令牌，然后可以通过 JavaScript 创建和提交表单。
• 网络请求：上面的表单示例也是如何在不使用 XMLHttpRequests 的情况下执行任何网络请求。

确实没有什么好的方法可以防止所有这些问题（至少，您需要防止对 DOM 进行任何更改，我认为这是不可能的）。

您需要信任您使用的第三方 JavaScript 库。

如果您不信任供应商，则需要自己重现该功能。