जब मैंने फेसबुक के ओपन ग्राफ एपीआई का उपयोग किया, तो मैंने देखा कि फेसबुक द्वारा जेएसओएनपी प्रतिक्रियाएं प्रत्येक प्रतिक्रिया की शुरुआत में एक बाहरी "/ ** /" लगती थीं इस तरह:फेसबुक के जेएसओएनपी कॉलबैक क्यों शुरू होते हैं "/ ** /"
URL:
https://graph.facebook.com/SOME_ID?method=get&pretty=0&sdk=joey&callback=FB.__globalCallbacks.f1c77f051c
Response:
/**/ FB.__globalCallbacks.f887adeec(...);
यह क्यों है?
कि मतलब यह है कि फ्लैश के लिए फेसबुक का ग्राफ में XSSI नज़र से बचने के लिए अंत में अतिरिक्त सामग्री के साथ एक SWF की तरह फ़ाइल को स्वीकार किया? (एपीआई प्रतिक्रिया) – molnarg
ठीक है, मैंने इसका परीक्षण किया है और ऐसा लगता है कि फ्लैश * * असंपीड़ित * एसडब्ल्यूएफ फाइलों के अंत में अतिरिक्त बाइट स्वीकार करता है। – molnarg
[संदर्भ] (https://en.wikipedia.org/wiki/JSONP#Rosetta_Flash) शोषण के लिए, उर्फ रोजेटा फ्लैश, जाहिर है। भेद्यता यह प्रतीत होती है कि विशेष रूप से तैयार किए गए फ़्लैश बाइट्स यह सोचते हैं कि वे लक्ष्य साइट (facebook.com) पर हैं और इसलिए उसी मूल डेटा (कुकीज़, स्थानीय भंडारण, मुझे लगता है) तक पहुंच प्राप्त है लेकिन फिर वह जानकारी भेज सकते हैं तीसरी पार्टी –