Google이 JSON 응답에 JavaScript 코드를 추가하는 이유는 무엇입니까?

JSON 응답에 JavaScript 코드 추가: Google의 보안 조치

Google의 while(1); 개인 JSON 응답의 시작 부분에 스크립트 중독 방지라는 보안 조치가 적용됩니다.

스크립트 중독은 악성 웹사이트가 동일 출처 정책 취약점을 악용할 수 있게 하는 JSON 보안 취약점입니다. 공격자는 다른 도메인의 스크립트 태그에 악성 URL을 삽입함으로써 승인된 사용자를 위한 JSON 데이터에 액세스하고 조작할 수 있습니다.

브라우저가 다른 도메인의 스크립트 태그를 해석할 때 동일하게 적용되지 않습니다. 동일한 도메인의 요청에 대한 보안 제한. 이를 통해 악성 웹사이트는 인증된 도메인을 대상으로 하는 JSON 응답을 가로채서 변경할 수 있습니다.

이 위협에 대응하기 위해 Google은 while(1); 공격자가 악성 코드를 실행하는 것을 방지하기 위해 앞에 추가합니다. 공격자가 Google JSON 응답에 악성 스크립트를 삽입하려고 시도하는 경우 while(1); 루프는 JavaScript 프로그램으로 실행될 때 무한 루프나 구문 오류를 생성합니다.

이 기술은 스크립트 중독을 효과적으로 방지하지만 CSRF(교차 사이트 요청 위조) 취약점을 해결하지는 않습니다. 개발자는 CSRF 공격으로부터 보호하기 위해 CSRF 토큰 사용과 같은 추가 보안 조치를 취해야 합니다.

위 내용은 Google이 JSON 응답에 JavaScript 코드를 추가하는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!