为什么 Google 在其 JSON 响应中添加'while(1);”？-js教程-PHP中文网

首页

web前端

js教程

为什么 Google 在其 JSON 响应中添加'while(1);”？

Linda Hamilton

Nov 16, 2024 am 10:16 AM

Why Does Google Prepend

了解 Google 的 JSON 响应中的前置代码

Google 经常添加前言“while(1);”到其私有 JSON 响应的开始。这种做法引发了对其目的的质疑。

防止 JSON 劫持

此前置代码的主要原因是阻止 JSON 劫持。JSON 劫持是一个安全漏洞，允许攻击者通过使用外部脚本在 JSON 响应中包含恶意脚本来访问敏感数据。通过在前面添加“while(1);”，Google 会阻止脚本自动运行，因为代码会进入无限循环。

技术细节

执行 JSON 劫持通过利用浏览器允许网站动态改变“Array”和“Function”全局对象方法的行为这一事实。因此，攻击者可以设置对象的特定响应属性并执行任意代码。

替代语法

除了“while(1);”之外，Google 还采用了变体在不同的服务中：

Google 文档：“&&&START&&&”
Google 通讯录：“while(1); &&&START&&&”

这些变体的作用相同防止 JSON 劫持和促进安全 JSON 解析的目的。

浏览器兼容性

自 2011 年以来，JSON 劫持已通过 ECMAScript 5 的同源策略在所有主要浏览器中得到解决，它限制来自不同来源的脚本访问数据。但是，前置代码提供了额外的保护层，防止旧版浏览器或不合规网站中的潜在漏洞。

以上是为什么 Google 在其 JSON 响应中添加'while(1);”？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

超越浏览器：现实世界中的JavaScriptApr 12, 2025 am 12:06 AM

JavaScript在现实世界中的应用包括服务器端编程、移动应用开发和物联网控制：1.通过Node.js实现服务器端编程，适用于高并发请求处理。2.通过ReactNative进行移动应用开发，支持跨平台部署。3.通过Johnny-Five库用于物联网设备控制，适用于硬件交互。

使用Next.js（后端集成）构建多租户SaaS应用程序Apr 11, 2025 am 08:23 AM

我使用您的日常技术工具构建了功能性的多租户SaaS应用程序（一个Edtech应用程序），您可以做同样的事情。首先，什么是多租户SaaS应用程序？多租户SaaS应用程序可让您从唱歌中为多个客户提供服务

如何使用Next.js（前端集成）构建多租户SaaS应用程序Apr 11, 2025 am 08:22 AM

本文展示了与许可证确保的后端的前端集成，并使用Next.js构建功能性Edtech SaaS应用程序。前端获取用户权限以控制UI的可见性并确保API要求遵守角色库

JavaScript：探索网络语言的多功能性Apr 11, 2025 am 12:01 AM

JavaScript是现代Web开发的核心语言，因其多样性和灵活性而广泛应用。1)前端开发：通过DOM操作和现代框架（如React、Vue.js、Angular）构建动态网页和单页面应用。2)服务器端开发：Node.js利用非阻塞I/O模型处理高并发和实时应用。3)移动和桌面应用开发：通过ReactNative和Electron实现跨平台开发，提高开发效率。

JavaScript的演变：当前的趋势和未来前景Apr 10, 2025 am 09:33 AM

JavaScript的最新趋势包括TypeScript的崛起、现代框架和库的流行以及WebAssembly的应用。未来前景涵盖更强大的类型系统、服务器端JavaScript的发展、人工智能和机器学习的扩展以及物联网和边缘计算的潜力。

神秘的JavaScript：它的作用以及为什么重要Apr 09, 2025 am 12:07 AM

JavaScript是现代Web开发的基石，它的主要功能包括事件驱动编程、动态内容生成和异步编程。1)事件驱动编程允许网页根据用户操作动态变化。2)动态内容生成使得页面内容可以根据条件调整。3)异步编程确保用户界面不被阻塞。JavaScript广泛应用于网页交互、单页面应用和服务器端开发，极大地提升了用户体验和跨平台开发的灵活性。