Блоки комментариев вокруг ответов JSON

Question

Я заметил, что некоторые веб-приложения возвращают ответы AJAX с данными JSON, встроенными в блок комментариев. Например, это будет пример ответа:

/*{
 "firstName": "John",
 "lastName": "Smith",
 "address": {
     "streetAddress": "21 2nd Street",
     "city": "New York",
     "state": "NY",
     "postalCode": 10021
 },
 "phoneNumbers": [
     "212 555-1234",
     "646 555-4567"
 ]} */

В чем преимущество встраивания данных JSON в блок комментариев? Есть ли какая-то уязвимость, которой можно избежать, если это сделать?

Answer 1

Это сделано для того, чтобы сторонний сайт не захватывал ваши данные с помощью тега <script> и не переопределял конструктор Object для захвата данных по мере их создания.

Когда данные JSON окружены комментариями, они больше не могут напрямую выполняться через тег <script> и, таким образом, «более безопасны».

См. PDF в http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf для получения дополнительной информации (с примерами)