GET http://0.131.channel.facebook.com/x/1476579705/51033089/false/p_1524926084=0

for (;;);{"t":"continue"}

为了面对这个挑战，Facebook最近一直在“全力”，内部项目旨在优雅地实施这些最佳实践，并且诚实地，唯一的解释，真正有意义的这个特定的情况只是：有人内部决定所有JSON解析应该在它们的核心库中执行一个单独的实现，最好的方法是对每个单独的API响应get(;;);自动粘在前面。

这样做，开发人员不能“懒惰”：他们会立即注意到，如果他们使用eval()，想知道是什么，然后实现他们的错误，并使用批准的JSON API。

提供的其他答案似乎都属于两个类别之一：

>误解JSONP，或
>误解“JSON劫持”。

第一类中的那些依赖于这样的想法，即攻击者可以以某种方式向不支持它的API请求“使用JSONP”。 JSONP是一个必须在服务器和客户端上支持的协议：它需要服务器返回类似于myFunction({“t”：“continue”})的东西，以便将结果传递给本地函数。你不能只是偶然使用JSONP。

第二类是引用一个非常真实的漏洞，已经描述了允许跨站点请求伪造通过标签到不使用JSONP(例如这一个)的API，允许一种形式的“JSON劫持”。这是通过更改Array / Object构造函数来实现的，它允许用户访问从服务器返回的信息，而不需要包装函数。

然而，这在这种情况下根本不可能：它的原因是一个裸数组(许多JSON API的一个可能的结果，如着名的Gmail示例)是一个有效的表达式语句，这不是真的裸对象。

实际上，由JSON定义的对象的语法(其中包括字段名称周围的引号，如本示例所示)与块的语法冲突，因此无法在脚本的顶级使用。

js> {"t":"continue"}
typein:2: SyntaxError: invalid label:
typein:2: {"t":"continue"}
typein:2: ....^

对于可以通过Object()构造函数重映射来利用的这个例子，它将要求API返回一组括号内的对象，使其成为有效的JavaScript(但不是有效的JSON)。

js> ({"t":"continue"})
[object Object]

现在，它可能是这样的(;;);前缀特技只是“偶然”显示在这个例子中，实际上是由返回数组的其他内部Facebook API返回;但在这种情况下，应该真正地注意到，因为那将是“真正的”原因为什么for(;;);出现在此特定代码段中。