0
我在看一些facebook XHR請求。我看到,存在着交叉域的請求,並且響應是象JSON:XHR JSON響應開始於
for (;;); {/* JSON object */}
爲什麼該響應與爲開始??? 我認爲這是涉及到一些安全原因,有人能解釋我嗎?
謝謝
A
回答
1
這樣做是爲了防止XSS。
如果惡意網站在<script>標記中包含該JSON網址,瀏覽器將凍結。
實際的客戶端網站可以刪除前綴;其他網站不能,因爲同源政策。
相關問題
- 1. 在jquery中訪問xhr的json響應
- 2. 響應不同於開始url
- 3. Tomcat緩存XHR響應
- 4. XHR Progress僅在開始時觸發
- 5. 如何訪問鑑於這種JSON響應此JSON響應
- 6. 獲取所有JSON響應,然後開始另一個活動
- 7. JSON響應在開始時返回一個空字符
- 8. XHR進度條用於請求和響應的文件上傳
- 9. Gu - - 獲取原始JSON響應
- 10. 跨域接收XML響應(XHR或Websockets)
- 11. javascript xhr在響應中加載iframe
- 12. xhr響應的腳本加載
- 13. 獲取XHR響應,並解析它
- 14. 如何讓ng-view等待XHR響應?
- 15. Firefox:點擊xhr響應的內容
- 16. Webapi如何有一個名稱的JSON響應,而不是從JSON開始
- 17. json響應格式
- 18. Fabric.js開始在Chrome中停止響應
- 19. WCF響應始終以「GetResult」開頭
- 20. 從Perl :: Twitter :: Lite :: WithAPIv1_1開始在Perl Dancer應用程序中解析json響應
- 21. 承諾響應適用於GET,但不適用於XHR中的POST
- 22. 空cURL json響應
- 23. 取決於JSON響應採取輸入
- 24. Alamofire .responseJSON不適用於JSON響應
- 25. 用於JSON響應的EPO Rest API
- 26. 錯誤轉換HTTP POST響應於JSON
- 27. 文件上傳用於處理json響應的插件/開發方法
- 28. 從JSON響應
- 29. Json API響應
- 30. JSON響應
好的,因此,使用CORS,您可以使用正常的XHR請求調用此JSON,但如果嘗試使用腳本標記將其包含在頁面中,瀏覽器將凍結。這是對的嗎? – rascio
正確,但CORS與它無關。 – SLaks
爲什麼不呢?請求來自_http://facebook.com_ to _http://0-staging.channel.facebook.com_並使用W3C的CORS文檔(Access-Control-Allow-Origin)中指定的標頭。對不起,我正在研究這個東西,我很好奇跨域的所有問題...... – rascio