有關JSON響應的評論塊

Question

我注意到一些Web應用程序返回AJAX響應，JSON數據嵌入到註釋塊中。例如，這將是示例響應：

/*{ 
"firstName": "John", 
"lastName": "Smith", 
"address": { 
    "streetAddress": "21 2nd Street", 
    "city": "New York", 
    "state": "NY", 
    "postalCode": 10021 
}, 
"phoneNumbers": [ 
    "212 555-1234", 
    "646 555-4567" 
]} */ 

將JSON數據嵌入到註釋塊中的好處是什麼？有沒有這樣做可以避免某種安全漏洞？

Answer 1

這樣做的目的是爲了避免第三方網站使用<script>標記劫持您的數據並覆蓋Object構造函數以獲取構建的數據。

當JSON數據被註釋包圍時，它不再可以通過<script>標記直接執行，從而「更安全」。

看到http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf的PDF瞭解更多信息（舉例）