首頁 > web前端 > js教程 > 主體

為什麼 Google 在 JSON 回應前要加入「while(1);」?

Mary-Kate Olsen
發布: 2024-11-24 03:42:09
原創
532 人瀏覽過

Why Does Google Prepend

前置 while(1); JSON 回應:Google 為什麼要這樣做?

向 Google 的私人 JSON 端點發出 API 請求時,您可能會注意到一個不尋常的前綴:while(1);。這引發了對其目的和潛在影響的疑問。

防止 JSON 劫持

此前綴的主要原因是防止 JSON 劫持。 2011 年之前,瀏覽器允許網站攔截和修改 AJAX 請求期間動態建立的物件。透過前置 while(1);對於 JSON 回應,Google 會阻止瀏覽器將這些回應評估為 JavaScript 程式碼,從而有效阻止潛在的劫持攻擊。

避免 Eval() 漏洞

現代瀏覽器強制執行安全 JSON 解析,使得透過eval()執行惡意程式碼變得困難。然而, while(1);前綴透過為攻擊者創建語法歧義來提供額外的安全層。即使他們刪除了前綴,剩餘的程式碼也會導致無限循環或語法錯誤,從而使攻擊無效。

Google 服務之間的變化

不同的 Google 服務使用此前綴的變體。 Google 文件使用 &&&START&&& 而非 while(1);,而 Google 通訊錄則將 &&&START&&& 附加到 while(1);。這與防止 JSON 劫持的目的相同。

結論

Google 包含了 while(1);其私有 JSON 回應中的類似前綴是針對 JSON 劫持攻擊的主動措施。它確保這些回應不會被視為可執行的 JavaScript 程式碼,從而保護使用者資料並防止惡意活動。

以上是為什麼 Google 在 JSON 回應前要加入「while(1);」?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板