Rumah >hujung hadapan web >tutorial js >Mengapakah Google Menyediakan Kod JavaScript kepada Respons JSON?

Mengapakah Google Menyediakan Kod JavaScript kepada Respons JSON?

Barbara Streisand
Barbara Streisandasal
2024-11-14 20:02:02966semak imbas

Why Does Google Prepend JavaScript Code to JSON Responses?

Menyediakan Kod JavaScript ke JSON Responses: Langkah Keselamatan Google

Penggabungan Google while(1); hingga permulaan respons JSON peribadi mereka ialah langkah keselamatan yang dikenali sebagai pencegahan keracunan skrip.

Keracunan skrip ialah kerentanan keselamatan JSON yang membolehkan tapak web berniat jahat mengeksploitasi kelemahan dasar asal yang sama. Dengan membenamkan URL hasad dalam teg skrip pada domain yang berbeza, penyerang boleh mengakses dan memanipulasi data JSON yang ditujukan untuk pengguna yang dibenarkan.

Apabila penyemak imbas mentafsir teg skrip daripada domain yang berbeza, ia tidak menggunakan perkara yang sama sekatan keselamatan sebagai permintaan daripada domain yang sama. Ini membenarkan tapak web berniat jahat memintas dan mengubah respons JSON yang dimaksudkan untuk domain yang dibenarkan.

Untuk mengatasi ancaman ini, Google menggunakan sementara(1); bersiap sedia untuk menghalang penyerang daripada melaksanakan kod hasad. Jika penyerang cuba memasukkan skrip berniat jahat ke dalam respons JSON Google, while(1); gelung akan mencipta gelung tak terhingga atau ralat sintaks apabila dilaksanakan sebagai program JavaScript.

Walaupun teknik ini berkesan menghalang keracunan skrip, ia tidak menangani kelemahan pemalsuan permintaan merentas tapak (CSRF). Pembangun mesti menggunakan langkah keselamatan tambahan, seperti menggunakan token CSRF, untuk melindungi daripada serangan CSRF.

Atas ialah kandungan terperinci Mengapakah Google Menyediakan Kod JavaScript kepada Respons JSON?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn