我注意到，一些Web应用程序返回与嵌入在注释块中的JSON数据AJAX响应。 例如，这将是一个样品的反应：

/*{
 "firstName": "John",
 "lastName": "Smith",
 "address": {
     "streetAddress": "21 2nd Street",
     "city": "New York",
     "state": "NY",
     "postalCode": 10021
 },
 "phoneNumbers": [
     "212 555-1234",
     "646 555-4567"
 ]} */

什么是一个注释块嵌入JSON数据的好处？ 是否有某种安全漏洞的是通过这样做可以避免？

它做是为了避免第三方网站使用劫持您的数据<script>标记并重写Object的构造函数来获取数据，因为它是建立。

当JSON数据由注释包围，它不再是经由直接可执行的<script>标记，从而“更安全的”。

请参阅在PDF http://www.fortifysoftware.com/servlet/downloads/public/JavaScript_Hijacking.pdf了解更多信息（举例）