标签: ajax json cross-domain
我正在查看一些facebook XHR请求。我看到有一个跨域请求,响应是JSON,如:
for (;;); {/* JSON object */}
为什么响应以 for 开头? 我认为这与某些安全原因有关,有人可以解释一下吗? 感谢
答案 0 :(得分:1)
这样做是为了防止XSS。
如果恶意网站在<script>标记中包含该JSON网址,则浏览器将冻结 实际的客户端站点可以删除前缀;其他网站不能,因为同源政策。
<script>