Menyediakan Kod JavaScript ke JSON Responses: Langkah Keselamatan Google
Penggabungan Google sementara(1); hingga permulaan respons JSON peribadi mereka ialah langkah keselamatan yang dikenali sebagai pencegahan keracunan skrip.
Keracunan skrip ialah kerentanan keselamatan JSON yang membolehkan tapak web berniat jahat mengeksploitasi kelemahan dasar asal yang sama. Dengan membenamkan URL hasad dalam teg skrip pada domain yang berbeza, penyerang boleh mengakses dan memanipulasi data JSON yang bertujuan untuk pengguna yang dibenarkan.
Apabila penyemak imbas mentafsir teg skrip daripada domain yang berbeza, ia tidak menggunakan perkara yang sama. sekatan keselamatan sebagai permintaan daripada domain yang sama. Ini membenarkan tapak web berniat jahat memintas dan mengubah respons JSON yang dimaksudkan untuk domain yang dibenarkan.
Untuk mengatasi ancaman ini, Google menggunakan sementara(1); bersiap sedia untuk menghalang penyerang daripada melaksanakan kod hasad. Jika penyerang cuba memasukkan skrip berniat jahat ke dalam respons JSON Google, while(1); gelung akan mencipta gelung tak terhingga atau ralat sintaks apabila dilaksanakan sebagai program JavaScript.
Walaupun teknik ini berkesan menghalang keracunan skrip, ia tidak menangani kelemahan pemalsuan permintaan merentas tapak (CSRF). Pembangun mesti menggunakan langkah keselamatan tambahan, seperti menggunakan token CSRF, untuk melindungi daripada serangan CSRF.
Atas ialah kandungan terperinci Mengapakah Google Menyediakan Kod JavaScript kepada Respons JSON?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
