【发布时间】:2012-06-07 06:54:51
【问题描述】:
我正在查看一些 facebook XHR 请求。我看到有一个跨域的请求,响应是一个JSON,如:
for (;;); {/* JSON object */}
为什么该响应以 for 开头???
我认为这与某些安全原因有关,有人可以解释一下吗?
谢谢
【问题讨论】:
标签: ajax json cross-domain
我正在查看一些 facebook XHR 请求。我看到有一个跨域的请求,响应是一个JSON,如:
for (;;); {/* JSON object */}
为什么该响应以 for 开头???
我认为这与某些安全原因有关,有人可以解释一下吗?
谢谢
【问题讨论】:
标签: ajax json cross-domain
这样做是为了防止 XSS。
如果恶意网站在 <script> 标记中包含该 JSON URL,浏览器将冻结。
实际的客户站点可以去掉前缀;由于同源政策,其他网站不能。
【讨论】: