Mentre lavoravo a un progetto che utilizzava l'API REST per Gerrit Code Review, ho notato che facevano qualcosa che pensavo fosse strano Fonte :
To prevent against Cross Site Script Inclusion (XSSI) attacks, the JSON response body starts with a magic prefix line that must be stripped before feeding the rest of the response body to a JSON parser:
)]}'
[ ... valid JSON ... ]
In che modo il prefisso del corpo della risposta con caratteri apparentemente casuali funziona per prevenire XSSI?