JSONレスポンスの周りのブロック

Question

私は、一部のWebアプリケーションが、コメントブロック内に埋め込まれたJSONデータを使ってAJAXレスポンスを返すことに気付きました。たとえば、これはサンプルレスポンスです：

/*{ 
"firstName": "John", 
"lastName": "Smith", 
"address": { 
    "streetAddress": "21 2nd Street", 
    "city": "New York", 
    "state": "NY", 
    "postalCode": 10021 
}, 
"phoneNumbers": [ 
    "212 555-1234", 
    "646 555-4567" 
]} */ 

JSONデータをコメントブロックに埋め込む利点は何ですか？これを避けて何らかのセキュリティ上の悪用があるのでしょうか？

Answer 1

<script>タグを使用してデータを乗っ取ってObjectコンストラクタをオーバーライドして、サードパーティのサイトが構築されたときにデータを取得するのを避けるためです。

JSONデータがコメントで囲まれている場合、<script>タグを介して直接実行可能でなくなり、「より安全」になります。

詳細については、http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdfを参照してください（例）