Pourquoi Google ajoute-t-il \'while(1);\' aux réponses JSON ?

Préfixe while(1); aux réponses JSON : pourquoi Google le fait-il ?

Lorsque vous envoyez des requêtes API aux points de terminaison JSON privés de Google, vous remarquerez peut-être un préfixe inhabituel : while(1);. Cela a soulevé des questions sur son objectif et ses implications potentielles.

Prévenir le piratage JSON

La principale raison de ce préfixe est de se protéger contre le piratage JSON. Avant 2011, les navigateurs permettaient aux sites Web d'intercepter et de modifier des objets créés dynamiquement lors de requêtes AJAX. En ajoutant while(1); aux réponses JSON, Google empêche les navigateurs d'évaluer ces réponses en tant que code JavaScript, bloquant ainsi efficacement les attaques de piratage potentielles.

Éviter les exploits Eval()

Les navigateurs modernes appliquent une analyse JSON sécurisée , ce qui rend difficile l'exécution de code malveillant via eval(). Cependant, le while(1); Le préfixe fournit une couche de sécurité supplémentaire en créant une ambiguïté syntaxique pour les attaquants. Même s'ils suppriment le préfixe, le code restant entraînera une boucle infinie ou une erreur de syntaxe, rendant l'attaque inefficace.

Variations selon les services Google

Différents services Google employer des variations dans ce préfixe. Google Docs utilise &&&START&&& au lieu de while(1);, tandis que Google Contacts ajoute &&&START&&& à while(1);. Cela sert le même objectif, à savoir empêcher le piratage JSON.

Conclusion

L'inclusion par Google de while(1); et des préfixes similaires dans ses réponses JSON privées constituent une mesure proactive contre les attaques de détournement JSON. Il garantit que ces réponses ne sont pas traitées comme du code JavaScript exécutable, protégeant ainsi les données des utilisateurs et empêchant les activités malveillantes.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!