Mientras trabajaba en un proyecto que usaba la API REST para Gerrit Code Review, me di cuenta de que hacían algo que me parecía extraño Source :
Para evitar ataques de inclusión de secuencia de comandos en sitios cruzados (XSSI), el cuerpo de respuesta JSON comienza con una línea de prefijo mágico que debe eliminarse antes de enviar el resto del cuerpo de respuesta a un analizador JSON:
)]}'
[ ... valid JSON ... ]
¿Cómo funciona el prefijo del cuerpo de la respuesta con caracteres aparentemente aleatorios para evitar XSSI?