Bloques de comentarios en torno a las respuestas JSON

Me he dado cuenta de que algunas aplicaciones web devuelven respuestas AJAX con datos JSON incrustados en un bloque de comentarios. Por ejemplo, este sería un ejemplo de respuesta:Bloques de comentarios en torno a las respuestas JSON

/*{ 
"firstName": "John", 
"lastName": "Smith", 
"address": { 
    "streetAddress": "21 2nd Street", 
    "city": "New York", 
    "state": "NY", 
    "postalCode": 10021 
}, 
"phoneNumbers": [ 
    "212 555-1234", 
    "646 555-4567" 
]} */

¿Cuál es el beneficio de la incorporación de los datos JSON en un bloque de comentario? ¿Hay algún tipo de ataque de seguridad que se evite haciendo esto?

Fuente

2009-06-19 Todd

Se hace para evitar que un sitio de terceros secune sus datos usando una etiqueta <script> y anulando el constructor Object para capturar los datos a medida que se construyen.

Cuando los datos JSON están rodeados de comentarios, ya no se pueden ejecutar directamente a través de una etiqueta <script>, y por lo tanto son "más seguros".

ver el pdf en http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf para obtener más información (con ejemplos)

Fuente

2009-06-19 17:25:42 jimr

El enlace parece estar roto. ¿Podría proporcionar otra referencia? – Lijo

Bloques de comentarios en torno a las respuestas JSON

Respuesta

Cuestiones relacionadas