在下面的视频中，Microsoft PDC演示者在时间标记21:40表示，包装所有JSON以使其不是顶级数组很重要:

https://channel9.msdn.com/Events/PDC/PDC09/FT12

解开顶层阵列的风险是什么？

我应该如何检查并确定自己是否脆弱？我从第三方购买了许多组件，并且有外部厂商来开发我的代码。

这是因为几年前，耶利米·格罗斯曼(Jeremiah Grossman)发现了一个非常interesting vulnerability that affects gmail。有人通过使用unparseable cruft解决了此漏洞(bobince先生在本页上的技术描述非常棒。)

微软之所以这样说，是因为他们尚未修补浏览器。 (编辑: Edge和IE 10/11的最新版本已解决了此问题。)Mozilla认为这是json规范中的漏洞，因此他们在Firefox 3中对其进行了修补。作为记录，我完全同意Mozilla，它的不幸之处在于，但每个Web应用程序开发人员都必须自我保护，以免受这种非常晦涩的漏洞的侵害。