当我使用Facebook的Open Graph API时,我注意到Facebook生成的JSONP响应似乎在每个响应的开头都有一个多余的“/**/”:
URL:
https://graph.facebook.com/SOME_ID?method=get&pretty=0&sdk=joey&callback=FB.__globalCallbacks.f1c77f051c
Response:
/**/ FB.__globalCallbacks.f887adeec(...);
为什么Facebook的JSONP回调以"/**/"开头?
11
- Andrew Lee
4个回答
6
我们添加了这个功能,以防止第三方网站绕过响应的内容类型进行攻击,例如:<object type="application/x-shockwave-flash" data="http://graph.facebook.com?callback=[特定的flash字节码]"></object>。谷歌也采用类似的方法,不同之处在于他们使用 //... + \n(例如:http://www.google.com/calendar/feeds/developer-calendar@google.com/public/full?alt=json&callback=foo)
- Alok
3
这是否意味着 Flash 接受一种类似 SWF 文件的文件,并在末尾添加其他内容呢?(指 API 响应) - molnarg
好的,我已经测试过了,似乎Flash确实接受未压缩的SWF文件末尾的额外字节。 - molnarg
参考Rosetta Flash漏洞,该漏洞似乎是特别制作的Flash字节执行时认为它们在目标站点(facebook.com)上,并因此访问同源数据(cookie、本地存储,我想),但随后可以将该信息发送给第三方。 - Carl G
2
当然要防止XSSI...这样你就无法执行它了...
这是一篇关于XSSI的法语博客文章(使用谷歌翻译)。
这是一篇关于XSSI的法语博客文章(使用谷歌翻译)。
- Jean-Michel Trayaud
0
为了防止XSSI,请查看Facebook的图表以获取更多帮助。
https://developers.facebook.com/docs/opengraph/overview/
- Ram Prasad
1
也许可以提供更具体的代码片段,而不仅仅是链接? - Albert Xing
-1
看起来Facebook正在对他们的JSON使用一个清洁器,只留下剩余的注释占位符在开头。很可能在那里留下注释以进行调试,但在生产中实际的注释会被清除。
- StephenPAdams
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接