Tại sao có một (;;); preamble trong facebooks JSON phản ứng?Tại sao có một (;;); preamble trong facebooks JSON phản ứng?
Trả lời
Xem StackOverflow bài đăng này: How to restrict JSON access?
Đặc biệt nhận xét này trong chủ đề đó: for/while loops in JSON responses
Về cơ bản này được sử dụng để kẻ tấn công không thể có được địa chỉ URL và bao gồm nó trên trang của họ và có JavaScript bây giờ đặt các biến trên trang vì ngay sau khi yêu cầu đã được bảo dưỡng, trình duyệt sẽ đi vào vòng lặp vô hạn không cho phép truy cập JavaScrip khác vào các biến được cho biết có khả năng cho phép kẻ tấn công sử dụng trình duyệt của bạn ở riêng.
Về cơ bản, điều này chỉ chạy một vòng lặp vô hạn khi được phân tích cú pháp. Bằng cách đó, trình duyệt của người dùng bị đóng băng (cuối cùng cung cấp một cửa sổ bật lên cho phép người dùng ngừng tập lệnh) và dữ liệu chưa bao giờ thực sự được đọc. Hy vọng điều này có ý nghĩa!
- 1. Phản ứng của Amazon S3 trong JSON?
- 2. Tại sao RestSharp ném một lỗi khi deserializing một phản ứng boolean?
- 3. Tại sao JBuilder không trả về nội dung phản hồi trong JSON khi kiểm tra RSPEC
- 4. Phản hồi JSON trong postPath AFHTTPClient
- 5. Làm thế nào để xử lý một NumberFormatException với Gson trong deserialization một phản ứng JSON
- 6. Tại sao Servlet của tôi không đáp ứng các yêu cầu JSON trong UTF-8?
- 7. Tại sao JSON quan trọng?
- 8. tại sao nhúng JSON vào XML xấu?
- 9. Xử lý JSON $ .post Phản hồi JSON
- 10. Cách nhận phản hồi dưới dạng định dạng json (ứng dụng/json) trong yii?
- 11. JSON phản ứng sử dụng cfscript chức năng
- 12. RESTful WCF gói json phản ứng với tên phương pháp
- 13. Phản hồi Zip JSON trong node.js
- 14. Tại sao có một JVM cho mỗi ứng dụng?
- 15. Ruby on Rails, json vs js ajax phản ứng
- 16. MySQL so với JSON - Tại sao?
- 17. Làm thế nào để trả về một phản ứng JSON phức tạp với Node.js?
- 18. (Tại sao) Phản ánh quá đắt trong .Net?
- 19. Tại sao JSON lại nhẹ hơn XML?
- 20. Tại sao có một glMatrixMode trong OpenGL?
- 21. trong JSON, Tại sao mỗi tên được trích dẫn?
- 22. parse json phản đối ruby
- 23. Các ký tự không hợp lệ trong phản hồi JSON
- 24. Stubbing RestClient phản ứng trong RSpec
- 25. Tại sao Tiện ích phản ứng gửi HTTP GET tới microsoft ON COMPILATION?
- 26. C#: Tại sao ứng dụng trong System.Windows.Forms?
- 27. Nhận HTTPS phản ứng
- 28. Sao chép/Sao chép/Sao chép một Hồ bơi Ứng dụng Hiện tại trong IIS 7
- 29. Được bảo mật hơn và tại sao JSON hoặc XML
- 30. Tại sao đối số của hàm không phản đối một mảng trong Javascript?
ok, nhưng nếu tôi biết điều này, tôi chỉ có thể sử dụng chuỗi con và sau đó là nội dung - đúng. Cũng giống như facebook hiện –
Không, vì bạn không thể sử dụng XMLHttprequest hoặc bất kỳ chức năng nào trong số đó vì bạn không nhận được nội dung từ cùng một miền. Vì nó không nằm trong cùng một miền, bạn phải sử dụng một nút kịch bản để tải nội dung vào trang hiện tại, điều này sẽ ngay lập tức làm cho công cụ JavaScript đi vào vòng lặp vô hạn. –