> 웹 프론트엔드 > JS 튜토리얼 > Google이 JSON 응답에 JavaScript 코드를 추가하는 이유는 무엇입니까?

Google이 JSON 응답에 JavaScript 코드를 추가하는 이유는 무엇입니까?

Barbara Streisand
풀어 주다: 2024-11-14 20:02:02
원래의
952명이 탐색했습니다.

Why Does Google Prepend JavaScript Code to JSON Responses?

JSON 응답에 JavaScript 코드 추가: Google의 보안 조치

Google의 while(1); 개인 JSON 응답의 시작 부분에 스크립트 중독 방지라는 보안 조치가 적용됩니다.

스크립트 중독은 악성 웹사이트가 동일 출처 정책 취약점을 악용할 수 있게 하는 JSON 보안 취약점입니다. 공격자는 다른 도메인의 스크립트 태그에 악성 URL을 삽입함으로써 승인된 사용자를 위한 JSON 데이터에 액세스하고 조작할 수 있습니다.

브라우저가 다른 도메인의 스크립트 태그를 해석할 때 동일한 내용이 적용되지 않습니다. 동일한 도메인의 요청에 대한 보안 제한. 이를 통해 악성 웹사이트는 승인된 도메인을 대상으로 하는 JSON 응답을 가로채서 변경할 수 있습니다.

이 위협에 대응하기 위해 Google은 while(1); 공격자가 악성 코드를 실행하는 것을 방지하기 위해 앞에 추가합니다. 공격자가 Google JSON 응답에 악성 스크립트를 삽입하려고 시도하는 경우 while(1); 루프는 JavaScript 프로그램으로 실행될 때 무한 루프나 구문 오류를 생성합니다.

이 기술은 스크립트 중독을 효과적으로 방지하지만 CSRF(교차 사이트 요청 위조) 취약점을 해결하지는 않습니다. 개발자는 CSRF 공격으로부터 보호하기 위해 CSRF 토큰 사용과 같은 추가 보안 조치를 취해야 합니다.

위 내용은 Google이 JSON 응답에 JavaScript 코드를 추가하는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿