Quando ho usato l'API Open Graph di Facebook, ho notato che le risposte JSONP generate da Facebook sembravano avere un "/ ** /" estraneo all'inizio di ogni risposta così:Perché i callback JSONP di Facebook iniziano con "/ ** /"
URL:
https://graph.facebook.com/SOME_ID?method=get&pretty=0&sdk=joey&callback=FB.__globalCallbacks.f1c77f051c
Response:
/**/ FB.__globalCallbacks.f887adeec(...);
Perché è questo?
Questo significa che il flash accetta un file SWF, come con contenuti aggiuntivi alla fine? (la risposta API) – molnarg
Beh, l'ho provato e sembra che flash * non * accetti byte aggiuntivi alla fine dei * file SWF non compressi *. – molnarg
[Riferimento] (https://en.wikipedia.org/wiki/JSONP#Rosetta_Flash) all'exploit, alias Rosetta Flash, apparentemente. La vulnerabilità sembra essere che i byte flash appositamente predisposti eseguano il pensiero di trovarsi sul sito di destinazione (facebook.com) e quindi di accedere a dati di origine identica (cookie, archiviazione locale, presumo) ma possono quindi inviare tali informazioni a la terza parte. –