ホームページ > ウェブフロントエンド > jsチュートリアル > Google が JSON 応答の先頭に JavaScript コードを追加するのはなぜですか?

Google が JSON 応答の先頭に JavaScript コードを追加するのはなぜですか?

Barbara Streisand
リリース: 2024-11-14 20:02:02
オリジナル
951 人が閲覧しました

Why Does Google Prepend JavaScript Code to JSON Responses?

JavaScript コードを JSON 応答に追加する: Google のセキュリティ対策

Google による while(1) の組み込み。

スクリプト ポイズニングは、悪意のある Web サイトが同一生成元ポリシーの脆弱性を悪用できるようにする JSON セキュリティの脆弱性です。別のドメインのスクリプト タグに悪意のある URL を埋め込むことで、攻撃者は承認されたユーザーを対象とした JSON データにアクセスして操作する可能性があります。

ブラウザが別のドメインのスクリプト タグを解釈する場合、同じ内容は適用されません。同じドメインからのリクエストとしてのセキュリティ制限。これにより、悪意のある Web サイトが承認されたドメイン宛ての JSON 応答を傍受し、変更することが可能になります。

この脅威に対抗するために、Google は while(1); を採用しています。攻撃者による悪意のあるコードの実行を防ぐために先頭に追加します。攻撃者が Google JSON 応答に悪意のあるスクリプトを挿入しようとすると、while(1); JavaScript プログラムとして実行すると、loop は無限ループまたは構文エラーを作成します。

この手法はスクリプト ポイズニングを効果的に防止しますが、クロスサイト リクエスト フォージェリ (CSRF) の脆弱性には対処しません。開発者は、CSRF 攻撃から保護するために、CSRF トークンの使用などの追加のセキュリティ対策を採用する必要があります。

以上がGoogle が JSON 応答の先頭に JavaScript コードを追加するのはなぜですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート