2009-06-19 36 views
7

我注意到一些Web應用程序返回AJAX響應,JSON數據嵌入到註釋塊中。例如,這將是示例響應:有關JSON響應的評論塊

/*{ 
"firstName": "John", 
"lastName": "Smith", 
"address": { 
    "streetAddress": "21 2nd Street", 
    "city": "New York", 
    "state": "NY", 
    "postalCode": 10021 
}, 
"phoneNumbers": [ 
    "212 555-1234", 
    "646 555-4567" 
]} */ 

將JSON數據嵌入到註釋塊中的好處是什麼?有沒有這樣做可以避免某種安全漏洞?

回答

7

這樣做的目的是爲了避免第三方網站使用<script>標記劫持您的數據並覆蓋Object構造函數以獲取構建的數據。

當JSON數據被註釋包圍時,它不再可以通過<script>標記直接執行,從而「更安全」。

看到http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf的PDF瞭解更多信息(舉例)

+0

的鏈接似乎被打破。你能否提供另一個參考? – Lijo 2014-09-09 02:30:35