内容来自 DOC https://q.houxu6.top/?s=为什么Google在JSON响应中添加了
while(1);?
为什么Google在(私有)JSON响应前加上while(1);?
例如,这是在Google日历中打开和关闭日历时的响应:
while (1);
[
['u', [
['smsSentFlag', 'false'],
['hideInvitations', 'false'],
['remindOnRespondedEventsOnly', 'true'],
['hideInvitations\_remindOnRespondedEventsOnly', 'false\_true'],
['Calendar ID stripped for privacy', 'false'],
['smsVerifiedFlag', 'true']
]]
]
我猜测这是为了防止人们对其进行eval()操作,但只需要替换掉while就可以了。我猜测这个eval预防措施是为了确保人们编写安全的JSON解析代码。
我在其他几个地方也见过这种做法,但以Google(邮件、日历、联系人等)为甚。奇怪的是,谷歌文档使用的是&&&START&&&,而谷歌联系人似乎使用的是while(1); &&&START&&&。
这是怎么回事?
它防止了JSON劫持,这是一项主要的JSON安全问题,自2011年以来已在所有主要浏览器中正式修复(https://security.stackexchange.com/questions/155518/why-json-hijacking-attack-doesnt-work-in-modern-browsers-how-was-it-fixed)。
牵强的例子:假设Google有一个URL,如mail.google.com/json?action=inbox,它会以JSON格式返回您的收件箱中的前50条消息。其他域上的恶意网站由于同源策略无法发出AJAX请求来获取这些数据,但它们可以通过<script>标签包含该URL。URL使用您的cookie访问,通过覆盖全局数组构造函数或访问器方法,它们可以在设置对象(数组或哈希)属性时调用一个名为的方法,从而允许它们读取JSON内容。
while(1);或&&&BLAH&&&可以防止这种情况:在mail.google.com上的AJAX请求将完全访问文本内容,并可以将其剥离。但是,插入<script>标签会盲目执行JavaScript,而没有任何处理,导致无限循环或语法错误。
这并不能解决跨站点请求伪造(cross-site request forgery)的问题。