0

我正在查看一些 facebook XHR 请求。我看到有一个跨域的请求,响应是一个 JSON,如:

for (;;); {/* JSON object */}

为什么该响应以for开头?我认为这与某些安全原因有关,有人可以解释一下吗?
谢谢

4

1 回答 1

1

这样做是为了防止 XSS。

如果恶意站点在标签中包含该 JSON URL <script>,浏览器将冻结。
实际的客户站点可以去掉前缀;由于同源政策,其他网站不能。

于 2012-06-06T22:54:51.893 回答