为什么Google会在(1)之前提前; 他们的JSON回复？

为什么Google会while(1);在其(私人)JSON响应前加上？

例如,这是在Google日历中打开和关闭日历时的响应:

while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'],
  ['remindOnRespondedEventsOnly','true'],
  ['hideInvitations_remindOnRespondedEventsOnly','false_true'],
  ['Calendar ID stripped for privacy','false'],['smsVerifiedFlag','true']]]]

我认为这是为了防止人们eval()对它进行操作,但你真正需要做的就是更换while然后你就可以了.我认为eval预防是为了确保人们编写安全的JSON解析代码.

我已经在其他几个地方看到了这种情况,但谷歌(邮件,日历,通讯录等)的情况更是如此.奇怪的是,谷歌文档开始了&&&START&&&,谷歌联系人似乎开始while(1); &&&START&&&.

这里发生了什么？

它可以防止JSON劫持,这是一个主要的JSON安全问题,自2011年以来在EMCA5中已在所有主流浏览器中正式修复.

举例说明:Google有一个URL mail.google.com/json?action=inbox,以JSON格式返回收件箱的前50条消息.由于同源策略,其他域上的邪恶网站无法通过AJAX请求获取此数据,但它们可以通过

云聪京初瑞子_617

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

• actionscrip
• bash
• c#
• c++
• c语言
• erlang
• flutter
• go
• golang
• java
• javascript
• lua
• node.js
• perl
• php
• python
• scala
• typescript

RankList | 热门文章

• 1如何在不打印的情况下在Matlab循环中监视变量？
• 2将C#List <string>转换为Javascript
• 3如何在recyclelerView向下滚动时折叠后隐藏工具栏
• 4ConcurrentQueue允许我等待一个生产者
• 5Swift选项 - 从'x'到'x'的条件转换警告总是成功
• 6使用秒表倒计时
• 7是否可以在chrome中使浏览器看起来像打印页面
• 8控件模板:如何创建绑定
• 9点击一个可疑的div剧照外面的焦点？
• 10箭头功能中的默认参数值
• 11使用Gradle预编译JSP
• 12配置Mocha来查找`.jsx` /`.es6`文件
• 13即使AngularJS和PHP的凭据不正确,登录仍然会指示
• 14可以在PHP7下运行symfony 1.4吗？
• 15如何在PHP页面上从orientdb访问数据？
• 16在哪里可以找到已翻译的Linq to Entity查询到Sql
• 17django在已清理的数据上形成预取
• 18在Unity插件中使用android jar中的context.getClassLoader.getResaurceAsStream无法访问图像
• 19mvn release:在java 8中执行失败 - 添加了javadoc插件
• 20使用数组值将数组转换为不同的结构