FacebookのOpenGraphAPIを使用したとき、Facebookによって生成されたJSONP応答には、次のように各応答の先頭に無関係な「/**/」が含まれているように見えることに気付きました。
URL:
https://graph.facebook.com/SOME_ID?method=get&pretty=0&sdk=joey&callback=FB.__globalCallbacks.f1c77f051c
Response:
/**/ FB.__globalCallbacks.f887adeec(...);
どうしてこれなの?
これを追加して、サードパーティのサイトが次のようにして応答のコンテンツタイプをバイパスする攻撃から保護します。<object type = "application / x-shockwave-flash" data = "http://graph.facebook.com? callback=[特別に細工されたフラッシュバイト]"></object>
Googleは、// ... + \ nを使用することを除いて、同様のことを行います(例:http ://www.google.com/calendar/feeds/developer-calendar@google.com/public/full?alt = json&callback = foo )
確かにXSSIを防ぐために...だからあなたはそれを実行することはできません...
http://maxime.sh/2013/02/javascript-quest-ce-que-le-xssi-et-comment-leviter/&usg=ALkJrhhjfdwBrK7kxNipOowAYacIcJm89g">これはそれについてのフランス語のブログ投稿です(Google翻訳付き)
XSSIを防ぐには、Facebookのグラフを調べて詳細を確認して くださいhttps://developers.facebook.com/docs/opengraph/overview/
FacebookはJSONにスクラバーを使用しているようで、最初に残りのコメントホルダーを残しているだけです。ほとんどの場合、デバッグ目的でコメントを残しますが、本番環境では実際のコメントがスクラブされます。