Javascript AngularJSON漏洞保护是如何工作的？

angular网站建议在JSON前面加上“

）]}”\n

，以防止它们被称为JSONP：

JSON漏洞允许第三方网站在某些情况下将JSON资源URL转换为JSONP请求。为了解决这个问题，服务器可以在所有JSON请求前面加上以下字符串“]}，\n”。Angular将在将前缀作为JSON处理之前自动去除前缀

但是引用的文章没有提到这些结束括号，而且感觉这很容易解决（因为我的JSONView chrome插件已经将它们去掉了。为什么这对“攻击者”不起作用？）

相反，本文建议将JSON包装为对象：

{"d": ["Philha", "my-confession-to-crimes", 7423.42]}

这在某种程度上保护了你

为什么AngularJS喜欢这种（奇怪的）保护，它能起作用吗？我不确定该如何测试这个

为什么这对“攻击者”不起作用

为了去除字符，您必须能够访问文件的原始内容

Chrome扩展可以访问该功能。将

指向原始文件的人不会这样做

为什么AngularJS喜欢这种（奇怪的）保护

因为它有效；）

它有效吗

对。当文件被视为JavaScript时，它将在到达数组之前在第1行抛出一个错误。这将阻止它尝试计算数组，因此被覆盖的数组构造函数将无法从中读取数据

---

---

幸运的是，安全问题似乎只存在于非常古老的Firefox版本中，因此您可能根本不需要担心这个问题。

酷！那么，为什么他们不遵循博客中的建议呢？再次感谢。可能是因为答案最后一段所述的原因，但你必须让他们知道。@Quentin什么是“访问文件的原始内容”？你能解释一下吗？或者分享一个链接来解释一下吗？@DhananjayanSanthanakrishnan-与访问解析其中数据的结果相反