Heim >Web-Frontend >js-Tutorial >Warum stellt Google seinen JSON-Antworten „while(1);' voran?

Warum stellt Google seinen JSON-Antworten „while(1);' voran?

Linda Hamilton
Linda HamiltonOriginal
2024-11-16 10:16:03669Durchsuche

Why Does Google Prepend

Den vorangestellten Code in den JSON-Antworten von Google verstehen

Google fügt häufig ein Vorwort von „while(1);“ hinzu zum Beginn seiner privaten JSON-Antworten. Diese Praxis hat Fragen zu ihrem Zweck aufgeworfen.

Verhindern von JSON-Hijacking

Der Hauptgrund für diesen vorangestellten Code besteht darin, JSON-Hijacking zu verhindern. JSON-Hijacking ist eine Sicherheitslücke, die Ermöglicht Angreifern den Zugriff auf vertrauliche Daten, indem sie mithilfe externer Skripte ein bösartiges Skript in eine JSON-Antwort einbinden. Durch das Voranstellen von „while(1);“ verhindert Google, dass das Skript automatisch ausgeführt wird, da der Code in eine Endlosschleife eintritt.

Technische Details

JSON-Hijacking wird ausgeführt indem es die Tatsache nutzt, dass Browser es Websites ermöglichen, das Verhalten der Methoden der globalen Objekte „Array“ und „Funktion“ dynamisch zu ändern. So könnte ein Angreifer bestimmte Antwortattribute eines Objekts festlegen und beliebigen Code ausführen.

Alternative Syntax

Neben „while(1);“ verwendet Google auch Variationen in verschiedenen Diensten:

  • Google Docs: „&&&START&&&“
  • Google Kontakte: „while(1); &&&START&&&“

Diese Variationen dienen dem gleichen Ziel ist es, JSON-Hijacking zu verhindern und eine sichere JSON-Analyse zu fördern.

Browserkompatibilität

JSON-Hijacking wird seit 2011 in allen gängigen Browsern durch die Same-Origin-Richtlinie von ECMAScript 5 angegangen. Dadurch wird verhindert, dass Skripte unterschiedlicher Herkunft auf Daten zugreifen. Der vorangestellte Code bietet jedoch einen zusätzlichen Schutz vor potenziellen Schwachstellen in älteren Browsern oder nicht konformen Websites.

Das obige ist der detaillierte Inhalt vonWarum stellt Google seinen JSON-Antworten „while(1);' voran?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn