为什么谷歌的JSON响应以while(1);开头?


发布者 Tianyi_Ting  发布时间 1388826975000
关键字 骇客攻防 

问题(QUESTION):

我有个问题一直很好奇就是:为什么谷歌的JSON响应以while(1);开头?举个例子,当把谷歌日历打开和关掉时,会返回这样的JSON对象:

while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'],['remindOnRespondedEventsOnly','true'],'hideInvitations_remindOnRespondedEventsOnly','false_true'],['Calendar ID stripped for privacy','false'],['smsVerifiedFlag','true']]]]


觉得这是谷歌不推荐使用eval()函数。我们需要做的是取代while,然后设置。我认为避免使用eval()函数是为了用eval()函数来确认JSON格式的字符串是否正确,从而确保程序员写出安全的JSON解析代码。我在其他一些地方也见过这个用法,但更多的是在谷歌的产品中,像谷歌的邮件、日历、通讯录等。

说来也奇怪,谷歌文档以&&&START&&&开头,但谷歌通讯录却以while(1);&&& START&&&开头。有人知道这是为什么吗?
 

回答1:

这可以防止JSON劫持。举个不是很恰当的例子:谷歌有一个URL:mail.google.com/json?Action=inbox ,在JSON格式下,它可以读取你的收件箱内前50条消息。由于同源策略,其他域内的坏网站却不能发出AJAX请求,以获取这些数据,但是他们可以通过重写全局数组构造函数或者存取函数,使cookies和URL间可以有一种方法,无论何时设置一个对象(数组或散列)的属性,都允许他们读取JSON内容。

while(1); 或者&&&BLAH&&& 可以防止mail.google.com上的一条AJAX请求,拥有对于文本内容的全部访问权限,并且能够将其撤销。但是同时,一 个 SCRIPT 标签的插入会在无需任何处理的情况下,盲目地执行JavaScript,最终可能导致死循环或语法错误。同时这也并不能解 决伪造的跨站请求问题。

回答2:

这 是为了确保让其他网站不能偷取你的信息。例如,先 通过替换数组构造器,再通过一个 SCRIPT 标签包含这个JSON URL,恶意的第三方网站就可以从JSON响应盗取数据。把while(1);放在开头就可以解决这样的问题。在另一方面,来自同一个网站使用XHR和独 立的JSON解析器的请求,可以直接忽略while(1);。

回答3:

这将会给使用 SCRIPT 标签的第三方网站在HTML文档中插入JSON响应变得困难。值得注意的是, SCRIPT 标签
是不需要被Sa授权的哦。

回答4:

这可以防止被当作一个简单 SCRIPT 标签目标。这样的话,坏家伙就不能轻而易举地把脚本标签放到他们自己的网站,利用活动会话而有机会偷取你的数据。





回复 (1)
  • #
  • #1 hax 1389333867000
    json劫持是上古时代的事情了。
微信扫码 立即评论