Google plus &引用；“防XSS保护”；加入]}'；在ajax响应之前

Google plus返回ajax请求，第一行带有

）]}

。我听说这是对XSS的保护。有没有任何例子表明，如果没有这种保护，人们可以做什么，如何做？

下面是我对这里发生的事情的最佳猜测

首先，google json格式的其他方面不是非常有效的json。因此，除了任何保护目的之外，他们可能会使用这个特定的字符串来表示文件的其余部分是google json格式的，需要进行相应的解释

使用此约定还意味着数据提要不会从脚本标记的调用执行，也不会直接从eval（）解释javascript。这确保了前端开发人员通过解析器传递内容，解析器将阻止任何植入的代码执行

所以为了回答您的问题，有两种看似合理的攻击可以防止，一种是通过脚本标记跨站点的，但更有趣的是在站点内部。这两种攻击都假定：

如何转义和删除用户数据存在缺陷

攻击者利用该漏洞可将代码注入其中一个数据源 作为一个简单的例子，假设一个用户知道如何使用类似字符串的示例

并将其更改为“]；警报（“示例”）

现在，如果该数据显示在另一个用户的提要中，攻击者可以在用户的浏览器中执行任意代码。因为它位于站点内，cookies被发送到服务器，攻击者可以自动执行诸如共享帖子或从用户帐户发消息等操作

---

在谷歌的场景中，这些攻击由于许多原因都不起作用。前5个字符将在攻击代码运行之前导致javascript错误。此外，由于开发人员被迫解析代码，而不是意外地通过eval运行代码，因此这种做法将阻止代码被执行。

正如其他人所说，这是错误的是一种防止跨站点脚本包含（XSSI）的保护

我们解释为：

第三，您应该确保脚本不是可执行的 执行此操作的标准方法是将一些不可执行的前缀附加到 在同一个域中运行的脚本可以 阅读响应的内容并去掉前缀，但是 无法在其他域中运行脚本

---

相关：这正是我所说的“我听说这是针对XSS的保护”的问题。这应该是一个新问题吗？你可能会在另一个问题中得到更多信息……是的，它应该。我想要黑客行为的例子

["example"] 

[""];alert('example');"]