Mengapakah Google Prepend \'while(1);\' kepada JSON Responses?

Menyiapkan sementara(1); kepada Respons JSON: Mengapa Google Melakukannya?

Apabila membuat permintaan API ke titik akhir JSON peribadi Google, anda mungkin melihat awalan yang luar biasa: while(1);. Ini telah menimbulkan persoalan tentang tujuan dan potensi implikasinya.

Mencegah Rampasan JSON

Sebab utama awalan ini adalah untuk melindungi daripada rampasan JSON. Sebelum 2011, pelayar membenarkan tapak web memintas dan mengubah suai objek yang dibuat secara dinamik semasa permintaan AJAX. Dengan menambah sementara(1); kepada respons JSON, Google menghalang penyemak imbas daripada menilai respons ini sebagai kod JavaScript, dengan berkesan menyekat kemungkinan serangan rampasan.

Mengelakkan Eksploitasi Eval()

Pelayar moden menguatkuasakan penghuraian JSON yang selamat , menjadikannya sukar untuk melaksanakan kod berniat jahat melalui eval(). Walau bagaimanapun, sementara(1); awalan menyediakan lapisan keselamatan tambahan dengan mencipta kekaburan sintaksis untuk penyerang. Walaupun mereka mengalih keluar awalan, kod yang selebihnya akan mengakibatkan gelung tidak terhingga atau ralat sintaks, menjadikan serangan itu tidak berkesan.

Variasi Merentasi Perkhidmatan Google

Perkhidmatan Google yang berbeza menggunakan variasi dalam awalan ini. Google Docs menggunakan &&&START&&& bukannya while(1);, manakala Google Contacts menambahkan &&&START&&& kepada while(1);. Ini mempunyai tujuan yang sama untuk mencegah rampasan JSON.

Kesimpulan

Pemasukan Google sementara(1); dan awalan serupa dalam respons JSON peribadinya ialah langkah proaktif terhadap serangan rampasan JSON. Ia memastikan bahawa respons ini tidak dianggap sebagai kod JavaScript boleh laku, melindungi data pengguna dan mencegah aktiviti berniat jahat.

Atas ialah kandungan terperinci Mengapakah Google Prepend \'while(1);\' kepada JSON Responses?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!