Google会像这样返回json：throw 1; <dont be evil> { foo: bar}和Facebook的ajax有这样的json：for(;;); {"error":0,"errorSummary": ""}他们为什么要放置将停止执行并生成无效json的代码？如果它无效，他们将如何解析它；如果您尝试评估它，它将崩溃吗？他们只是将其从字符串中删除（似乎很昂贵）吗？这有什么安全优势吗？出于安全考虑，对此：如果刮板在另一个域上，则它们将不得不使用script标签来获取数据，因为XHR无法跨域工作。即使没有，for(;;);攻击者也将如何获取数据？它没有分配给变量，所以不会因为没有引用而被垃圾回收吗？基本上要获得跨域数据，他们必须要做<script src="http://target.com/json.js"></script>但是，即使没有前置崩溃脚本，攻击者也无法使用任何Json数据，除非将其分配给可以全局访问的变量（在这些情况下不是）。崩溃代码实际上无能为力，因为即使没有崩溃代码，他们也必须使用服务器端脚本来使用其站点上的数据。