Google が JSON 応答の先頭に JavaScript コードを追加するのはなぜですか?

JavaScript コードを JSON 応答に追加する: Google のセキュリティ対策

Google による while(1) の組み込み。

スクリプト ポイズニングは、悪意のある Web サイトが同一生成元ポリシーの脆弱性を悪用できるようにする JSON セキュリティの脆弱性です。別のドメインのスクリプト タグに悪意のある URL を埋め込むことで、攻撃者は承認されたユーザーを対象とした JSON データにアクセスして操作する可能性があります。

ブラウザが別のドメインのスクリプト タグを解釈する場合、同じ内容は適用されません。同じドメインからのリクエストとしてのセキュリティ制限。これにより、悪意のある Web サイトが承認されたドメイン宛ての JSON 応答を傍受し、変更することが可能になります。

この脅威に対抗するために、Google は while(1); を採用しています。攻撃者による悪意のあるコードの実行を防ぐために先頭に追加します。攻撃者が Google JSON 応答に悪意のあるスクリプトを挿入しようとすると、while(1); JavaScript プログラムとして実行すると、loop は無限ループまたは構文エラーを作成します。

この手法はスクリプト ポイズニングを効果的に防止しますが、クロスサイト リクエスト フォージェリ (CSRF) の脆弱性には対処しません。開発者は、CSRF 攻撃から保護するために、CSRF トークンの使用などの追加のセキュリティ対策を採用する必要があります。

以上がGoogle が JSON 応答の先頭に JavaScript コードを追加するのはなぜですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。