【发布时间】:2011-09-30 21:34:17
【问题描述】:
当我在 Google Plus 中调试错误时(从 Yahoo 导入 FB 联系人时),我发现了奇怪的 JSON 响应:
)]}'
[[["er",,,,,500]
,["e",2,,,57]
],'45932b7d6d6dc08e']
它是 JSONP 的一些变体吗?让我想起了 SQL 注入……那么,右括号和开头的引号的目的是什么?
【问题讨论】:
-
闻起来像 XSS 对策
-
闻起来像是有人想让全世界都知道他在 google+ 上……或者那可能是青少年精神……我真的说不出来
-
哇,这很奇怪。它甚至以内容类型“application/json”提供,但却是完全无效的 json。
-
@Shaggy Frog,在我看来,它更像是一种 XSRF 对策。顶部的脚本确保它在通过
<script src=...>跨站点加载时不会正确解析,但是当通过遵循同源策略的 XMLHttp 加载时,可以删除断路器。 -
@GlennFerrieLive 由于有趣的上下文,我很快收到了答案。每个人也可以自己检查 JSON 响应。但是,仍然感谢您提供宝贵的见解。
标签: javascript json google-plus