FacebookのOpen Graph APIを使用したとき、Facebookによって生成されたJSONPレスポンスに、それぞれの応答の初めに無関係な "/ ** /"があるようでしたこのように:FacebookのJSONPコールバックが "/ ** /"で始まる理由
URL:
https://graph.facebook.com/SOME_ID?method=get&pretty=0&sdk=joey&callback=FB.__globalCallbacks.f1c77f051c
Response:
/**/ FB.__globalCallbacks.f887adeec(...);
なぜですか?あなたはそれを実行することはできませんので、確かに... XSSIを防止する
のためのFacebookのグラフにXSSI 見を防止するために、それはフラッシュが最後に追加コンテンツとSWFのようなファイルを受け入れることを意味するのでしょうか? (APIの応答) – molnarg
さて、私はそれをテストしたし、flash *は圧縮されていない* SWFファイルの最後に追加のバイトを受け入れているようです。 – molnarg
[参考](https://en.wikipedia.org/wiki/JSONP#Rosetta_Flash)は、明らかにRosetta Flashと呼ばれます。この脆弱性は、特別に細工されたフラッシュバイトがターゲットサイト(facebook.com)上にあると考えて実行し、同じオリジンデータ(Cookie、ローカルストレージ、私は推測します)にアクセスできるが、その情報をサードパーティー。 –