标签: rest security xss
Angular的安全指南提到了对来自API的JSON响应进行前缀以防止XSSI的攻击:
仅当返回的JSON可作为JavaScript可执行时,此攻击才会成功。服务器可以通过使用众所周知的字符串“)]}',\ n”为所有JSON响应添加前缀,使它们按照惯例变为不可执行,从而防止攻击。
我不了解的部分是,当您将这样的前缀添加到JSON响应时,它不再是有效的JSON。这不是问题吗?