FacebookのOpen Graph APIを使用したとき、Facebookによって生成されたJSONPレスポンスに、それぞれの応答の初めに無関係な "/ ** /"があるようでしたこのように:FacebookのJSONPコールバックが "/ ** /"で始まる理由
URL:
https://graph.facebook.com/SOME_ID?method=get&pretty=0&sdk=joey&callback=FB.__globalCallbacks.f1c77f051c
Response:
/**/ FB.__globalCallbacks.f887adeec(...);
なぜですか?あなたはそれを実行することはできませんので、確かに... XSSIを防止する
第三者のサイトがレスポンスのコンテンツタイプをバイパスする攻撃に対して:<オブジェクトタイプ= "application/x-shockwave-flash" data = "http://graph.facebook.com?callback=[specifically craftedフラッシュバイト] "> < /オブジェクト>
Googleは、// ... + \ n(例: http://www.google.com/calendar/feeds/[email protected]/public/full?alt=json&callback=foo)
...
http://maxime.sh/2013/02/javascript-quest-ce-que-le-xssi-et -comment-leviter/& USG = ALkJrhhjfdwBrK7kxNipOowAYacIcJm89g ">ここ(Google翻訳で)そのことについてフランスのブログ記事で
Facebookは自分のJSONにスクラバーを使用している、それはほんの始まりに残ったコメントホルダーを残しているように思えますほとんどの場合、デバッグの目的でコメントを残している可能性がありますが、実際のコメントは削除されます。
おそらくリンクするのではなく、より具体的なスニペットを与えるのでしょうか? –
のためのFacebookのグラフにXSSI 見を防止するために、それはフラッシュが最後に追加コンテンツとSWFのようなファイルを受け入れることを意味するのでしょうか? (APIの応答) – molnarg
さて、私はそれをテストしたし、flash *は圧縮されていない* SWFファイルの最後に追加のバイトを受け入れているようです。 – molnarg
[参考](https://en.wikipedia.org/wiki/JSONP#Rosetta_Flash)は、明らかにRosetta Flashと呼ばれます。この脆弱性は、特別に細工されたフラッシュバイトがターゲットサイト(facebook.com)上にあると考えて実行し、同じオリジンデータ(Cookie、ローカルストレージ、私は推測します)にアクセスできるが、その情報をサードパーティー。 –