為什麼Google 在JSON 回應中加入while(1); 前綴
為了回應最近Google 附加while(1); 的觀察結果用戶根據其JSON 響應推測其目的。
這種做法的主要原因是為了緩解 JSON 劫持,該漏洞允許第三方網站透過跨來源 AJAX 請求存取敏感用戶資料。透過在前面加入 while(1);,Google 確保其他網域上的網站無法存取 JSON 內容。
這是透過利用禁止第三方網站修改全域數組方法的瀏覽器安全措施來實現的。因此,即使攻擊者包含引用 Google JSON URL 的腳本標記,他們也無法覆寫數組建構函數或存取器方法,從而有效地阻止資料存取。
雖然此技術可以防止 JSON 劫持,但它無法解決跨站點問題請求偽造是另一個潛在的安全風險。因此,應實施額外的安全措施來減輕此類威脅。
以上是為什麼 Google 在 JSON 回應中加上「while(1);」前綴?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
