Warum stellt Google seinen JSON-Antworten „while(1);' voran?

Warum Googles JSON-Antworten mit while(1) beginnen;

Frage: Warum stellt Google while(1 voran? ); auf seine JSON-Antworten?

Antwort:

Googles Praxis, while(1) voranzustellen; auf JSON-Antworten ist eine Sicherheitsmaßnahme, die darauf abzielt, JSON-Hijacking zu verhindern.

JSON-Hijacking tritt auf, wenn eine externe Website eine JSON-abrufende URL in ein Skript-Tag auf ihrer Seite einbettet. Unter Ausnutzung der Same-Origin-Richtlinie kann die externe Website mithilfe der Cookies des Benutzers JSON-Daten von der Zielwebsite (z. B. Google) abrufen.

Das bösartige Skript kann den JSON-Inhalt abfangen, seine Eigenschaften ändern oder vertrauliche Daten extrahieren Information. Durch das Überschreiben globaler Array-Konstruktor- oder Zugriffsmethoden könnte die externe Site die Kontrolle über den Datenbearbeitungsprozess erlangen.

Das Hinzufügen von while(1); oder &&&BLAH&&& am Anfang der JSON-Zeichenfolge unterbricht diesen Prozess. Wenn die JSON-Antwort über eine AJAX-Anfrage geladen wird, wird sie analysiert und verarbeitet, bevor sie angezeigt wird. Wenn die JSON-Zeichenfolge jedoch innerhalb eines Skript-Tags ausgeführt wird, stößt sie auf eine Endlosschleife oder einen Syntaxfehler, wodurch schädlicher Code daran gehindert wird, auf die Daten zuzugreifen.

Diese Maßnahme hilft, Benutzer vor Cross-Site-Scripting-Angriffen zu schützen und stellt dies sicher Die JSON-Antworten von Google bleiben sicher und werden nicht durch unbefugte Quellen kompromittiert.

Das obige ist der detaillierte Inhalt vonWarum stellt Google seinen JSON-Antworten „while(1);' voran?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!