哪种json答案以）]}'开始

在消息开头使用无效的JSON是一种克服CSRF和对Javascript的数组构造函数进行棘手攻击的组合的方法。

如果该URL返回了有效的，未包装的数组，那么您访问的任何网站都可能会使Array函数超载，在页面上放置/注入对该Google+
URL的脚本引用，并在您仅加载其页面时收集您的私有/安全数据。

Google自己的客户端代码可以在解析无效的JSON之前将其删除，因为它使用的是传统的XHR请求，从而使他们可以访问原始响应。远程站点只能通过脚本元素注入来访问它，并且没有机会在浏览器解析数据之前对其进行预处理。后者类似于JSONP的工作方式，其中Array构造函数无意间成为了回调函数。

您会在许多知名网站上看到类似的方法，这些网站会返回JSON数组以响应GET请求。

for (;;);