Maison > interface Web > js tutoriel > Pourquoi Google ajoute-t-il du code JavaScript aux réponses JSON ?

Pourquoi Google ajoute-t-il du code JavaScript aux réponses JSON ?

Barbara Streisand
Libérer: 2024-11-14 20:02:02
original
937 Les gens l'ont consulté

Why Does Google Prepend JavaScript Code to JSON Responses?

Préparation du code JavaScript aux réponses JSON : mesure de sécurité de Google

Incorporation de while(1) par Google ; au début de leurs réponses JSON privées se trouve une mesure de sécurité connue sous le nom de prévention de l'empoisonnement des scripts.

L'empoisonnement des scripts est une vulnérabilité de sécurité JSON qui permet aux sites Web malveillants d'exploiter les vulnérabilités des politiques de même origine. En intégrant une URL malveillante dans une balise de script sur un domaine différent, les attaquants pourraient accéder et manipuler les données JSON destinées aux utilisateurs autorisés.

Lorsqu'un navigateur interprète une balise de script d'un domaine différent, il n'applique pas la même chose. restrictions de sécurité que les requêtes du même domaine. Cela permet au site Web malveillant d'intercepter et de modifier les réponses JSON destinées au domaine autorisé.

Pour contrer cette menace, Google utilise le while(1); ajouter pour empêcher les attaquants d’exécuter du code malveillant. Si un attaquant tente d'insérer un script malveillant dans une réponse Google JSON, le while(1); loop créera une boucle infinie ou une erreur de syntaxe lorsqu'il est exécuté en tant que programme JavaScript.

Bien que cette technique empêche efficacement l'empoisonnement des scripts, elle ne résout pas les vulnérabilités de falsification de requêtes intersites (CSRF). Les développeurs doivent utiliser des mesures de sécurité supplémentaires, telles que l'utilisation de jetons CSRF, pour se protéger contre les attaques CSRF.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal