不使用同源策略的情况下，可以通过其他方式来保护JSON API免受CSRF攻击，例如使用CSRF令牌。

CSRF令牌是一种防止CSRF攻击的常见方法，它是一个随机生成的令牌，将其与每个请求一起发送，并在服务器端进行验证。以下是一个示例代码，展示如何在API中使用CSRF令牌。

1. 生成CSRF令牌并将其存储在会话中：

app.use(session({
    secret: 'your_secret_key',
    resave: false,
    saveUninitialized: true
}));

app.use(function(req, res, next) {
    if (!req.session.csrfToken) {
        req.session.csrfToken = generateCSRFToken(); // 生成CSRF令牌
    }
    next();
});

2. 在页面中将CSRF令牌包含在请求中：

    
    
    提交

3. 在服务器端验证CSRF令牌：

app.post('/api/post', function(req, res) {
    if (req.session.csrfToken !== req.body.csrfToken) {
        res.status(403).json({ error: 'Invalid CSRF token' });
    } else {
        // 处理请求
    }
});

通过这种方式，即使没有使用同源策略，CSRF攻击者也无法获得有效的CSRF令牌，因此无法成功发起CSRF攻击。注意，这只是一种解决方法，还可以使用其他安全措施来进一步加强API的安全性。