Nhận xét các khối xung quanh phản hồi JSON

Question

Tôi nhận thấy rằng một số ứng dụng web trả về các phản hồi AJAX với dữ liệu JSON được nhúng trong khối nhận xét. Ví dụ: đây sẽ là câu trả lời mẫu:

/*{ 
"firstName": "John", 
"lastName": "Smith", 
"address": { 
    "streetAddress": "21 2nd Street", 
    "city": "New York", 
    "state": "NY", 
    "postalCode": 10021 
}, 
"phoneNumbers": [ 
    "212 555-1234", 
    "646 555-4567" 
]} */ 

Lợi ích của việc nhúng dữ liệu JSON vào khối nhận xét là gì? Có một số loại khai thác bảo mật mà tránh được bằng cách làm điều này?

Answer 1

Nó được thực hiện để tránh trang web của bên thứ ba chiếm đoạt dữ liệu của bạn bằng cách sử dụng thẻ <script> và ghi đè công cụ xây dựng Object để lấy dữ liệu khi nó được tạo.

Khi dữ liệu JSON được bao quanh bởi nhận xét, nó không còn có thể thực thi trực tiếp qua thẻ <script> và do đó "an toàn hơn".

Xem PDF tại http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf để biết thêm thông tin (ví dụ)