जब मैंने फेसबुक के ओपन ग्राफ एपीआई का उपयोग किया, तो मैंने देखा कि फेसबुक द्वारा जेएसओएनपी प्रतिक्रियाएं प्रत्येक प्रतिक्रिया की शुरुआत में एक बाहरी "/ ** /" लगती थीं इस तरह:फेसबुक के जेएसओएनपी कॉलबैक क्यों शुरू होते हैं "/ ** /"
URL:
https://graph.facebook.com/SOME_ID?method=get&pretty=0&sdk=joey&callback=FB.__globalCallbacks.f1c77f051c
Response:
/**/ FB.__globalCallbacks.f887adeec(...);
यह क्यों है?
हमने इसे सुरक्षा के लिए जोड़ा एक हमले के खिलाफ जहां एक थर्ड पार्टी साइट सामग्री के प्रकार को प्रतिक्रिया देकर प्रतिक्रिया देती है: < ऑब्जेक्ट टाइप = "एप्लिकेशन/एक्स-शॉकवेव-फ्लैश" डेटा = "http://graph.facebook.com?callback=[specifically तैयार किया गया फ्लैश बाइट्स] "> </ऑब्जेक्ट >
Google कुछ समान करता है, सिवाय इसके कि वे // ... + \ n (उदा। http://www.google.com/calendar/feeds/[email protected]/public/full?alt=json&callback=foo)
निश्चित रूप से XSSI को रोकने के लिए ... ताकि आप इसे निष्पादित नहीं कर सकते हैं ...
http://maxime.sh/2013/02/javascript-quest-ce-que-le-xssi-et -comment-leviter/& USG = ALkJrhhjfdwBrK7kxNipOowAYacIcJm89g "> यहाँ (गूगल के साथ अनुवाद कर) इस बारे में एक फ्रेंच ब्लॉग पोस्ट
फेसबुक की तरह लगता है उनके JSON पर एक स्क्रबर उपयोग कर रहा है, और यह सिर्फ शुरुआत में शेष टिप्पणी धारक छोड़ने है अधिकतर डिबगिंग उद्देश्यों के लिए टिप्पणियां छोड़ दें, लेकिन उत्पादन में वास्तविक टिप्पणियां साफ़ की जाती हैं।
और अधिक मदद की https://developers.facebook.com/docs/opengraph/overview/
शायद लिंक करने के बजाय शायद अधिक विशिष्ट स्निपेट दें? –
कि मतलब यह है कि फ्लैश के लिए फेसबुक का ग्राफ में XSSI नज़र से बचने के लिए अंत में अतिरिक्त सामग्री के साथ एक SWF की तरह फ़ाइल को स्वीकार किया? (एपीआई प्रतिक्रिया) – molnarg
ठीक है, मैंने इसका परीक्षण किया है और ऐसा लगता है कि फ्लैश * * असंपीड़ित * एसडब्ल्यूएफ फाइलों के अंत में अतिरिक्त बाइट स्वीकार करता है। – molnarg
[संदर्भ] (https://en.wikipedia.org/wiki/JSONP#Rosetta_Flash) शोषण के लिए, उर्फ रोजेटा फ्लैश, जाहिर है। भेद्यता यह प्रतीत होती है कि विशेष रूप से तैयार किए गए फ़्लैश बाइट्स यह सोचते हैं कि वे लक्ष्य साइट (facebook.com) पर हैं और इसलिए उसी मूल डेटा (कुकीज़, स्थानीय भंडारण, मुझे लगता है) तक पहुंच प्राप्त है लेकिन फिर वह जानकारी भेज सकते हैं तीसरी पार्टी –