为什么Google在JSON响应中添加了`while(1);`?

最新推荐文章于 2024-07-29 11:32:06 发布
最新推荐文章于 2024-07-29 11:32:06 发布
阅读量35 收藏
点赞数
文章标签: json 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62946064/article/details/133849664
版权

内容来自 DOC https://q.houxu6.top/?s=为什么Google在JSON响应中添加了while(1);

为什么Google在(私有)JSON响应前加上while(1);

例如,这是在Google日历中打开和关闭日历时的响应:

while (1);
[
  ['u', [
    ['smsSentFlag', 'false'],
    ['hideInvitations', 'false'],
    ['remindOnRespondedEventsOnly', 'true'],
    ['hideInvitations\_remindOnRespondedEventsOnly', 'false\_true'],
    ['Calendar ID stripped for privacy', 'false'],
    ['smsVerifiedFlag', 'true']
  ]]
]

我猜测这是为了防止人们对其进行eval()操作,但只需要替换掉while就可以了。我猜测这个eval预防措施是为了确保人们编写安全的JSON解析代码。

我在其他几个地方也见过这种做法,但以Google(邮件、日历、联系人等)为甚。奇怪的是,谷歌文档使用的是&&&START&&&,而谷歌联系人似乎使用的是while(1); &&&START&&&

这是怎么回事?

它防止了JSON劫持,这是一项主要的JSON安全问题,自2011年以来已在所有主要浏览器中正式修复(https://security.stackexchange.com/questions/155518/why-json-hijacking-attack-doesnt-work-in-modern-browsers-how-was-it-fixed)。

牵强的例子:假设Google有一个URL,如mail.google.com/json?action=inbox,它会以JSON格式返回您的收件箱中的前50条消息。其他域上的恶意网站由于同源策略无法发出AJAX请求来获取这些数据,但它们可以通过<script>标签包含该URL。URL使用的cookie访问,通过覆盖全局数组构造函数或访问器方法,它们可以在设置对象(数组或哈希)属性时调用一个名为的方法,从而允许它们读取JSON内容。

while(1);&&&BLAH&&&可以防止这种情况:在mail.google.com上的AJAX请求将完全访问文本内容,并可以将其剥离。但是,插入<script>标签会盲目执行JavaScript,而没有任何处理,导致无限循环或语法错误。

这并不能解决跨站点请求伪造(cross-site request forgery)的问题。

m0_62946064
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为什么 Google 在他们的 JSON 响应前加上 `while(1);`?
Jerry学长
05-30 611
在浏览一些前端开发的问题时,可能不少开发者都注意到 GoogleJSON 响应前面会有一个奇怪的while(1);声明。这是什么缘故呢?本文将详细解释这种做法背后的技术原因。
为什么谷歌的JSON响应以while(1);开头?
hanqing
01-11 739
问题(QUESTION):   我有个问题一直很好奇就是:为什么谷歌的JSON响应以while(1);开头?举个例子,当把谷歌日历打开和关掉时,会返回这样的JSON对象: while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'],['remindOnRespondedEventsOnly','true'],'hi
为什么Google会优先使用while(1); 他们的JSON响应
asdfgh0077的博客
12-04 353
为什么Google会优先使用while(1); 他们的(私有)JSON响应? 例如,这是在Google日历打开和关闭日历时的响应: while(1);[['u',[['smsSentF
为什么 Google 在前面加上 while(1);到他们的 JSON 响应
kalman2019的博客
12-12 185
为什么 Google 会在其(私有)JSON 响应添加 while(1);?例如,以下是在 Google Calendar 打开和关闭日历时的响应:我认为这是为了防止人们对其执行 eval(),但您真正需要做的就是替换 while,然后您就可以设置了。我认为 eval 预防是确保人们编写安全的 JSON 解析代码。我在其他几个地方也看到过这种用法,但在 Google(邮件、日历、通讯录等)使用得更多。奇怪的是,Google Docs 以 &&&START&&& 开头,而 Google 通讯
JSON劫持与while(1)
分享不一样的技术,与你一起共同成长!
04-25 551
JSON 劫持,也称为“JavaScript 对象表示不法劫持”。当应用程序没有适当地防范此类攻击时,此漏洞允许攻击者从受害者的浏览器窃取敏感数据。JSON 劫持利用同源策略,这是一种安全措施,可防止网页向与提供网页的域不同的域发出请求。这是通过查询资料找到关于什么"JSON劫持"的解释.这个JSON劫持一般发生与JSONP、CSRF跨站伪造请求有点异曲同工之处...
javajson使用到的所有jar包
09-11
在访问URL并获取JSON响应时,你可能还需要`java.net.URL`、`java.net.HttpURLConnection`或者`Apache HttpClient`这样的网络通信库。例如,使用`HttpURLConnection`读取JSON数据: ```java import java.io....
安卓解析json数据.docx
02-22
以金山词霸的每日一句API为例,我们可以发送HTTP请求获取JSON响应,然后使用上述解析方法处理返回的数据。API返回的数据包含sid(句号ID)、tts(语音URL)、content(句子内容)、note(注释)、love(点赞数)和...
json前后端数据交互相关代码
12-03
4. **从文件读取JSONObject**:当JSON数据存储在文件时,可以先读取为字符串,再转换成JSONObject。 ```java File file = new File("path/to/jsonfile.json"); BufferedReader reader = new BufferedReader(new...
android_json
07-02
1. **使用Gson库**:Google提供的Gson库能将Java对象转换为JSON字符串,反之亦然。首先,在build.gradle文件添加依赖: ```gradle implementation 'com.google.code.gson:gson:2.8.6' ``` 然后,你可以这样...
在JAVA类解析GOOGLE MAP地址和反向解析纬经度
07-26
在上面的代码,我们创建了一个`geocodeAddress`方法,它接收一个地址字符串,通过API接口获取JSON响应,并返回一个JSONObject。注意,你需要替换`your_api_key`为你的实际Google Maps API密钥。 接下来,我们来看...
浅谈“Json hijacking/Json劫持注入”
→_→
05-17 1052
漏洞名称: Json hijacking 、Json劫持漏洞、Json注入攻击 描述: JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成,这种纯文本的数据交互方式由于可以天然的在浏览器使用,所以随着ajax和web业务的发展得到了广大的发展,各种大型网站都开始使用,包括Yahoo,Google,Tencent,Baidu等等,目前各银行都有用这种方式来实现数据交互。但是如果这种交互的方式用来传递敏感的数
while(1); 作用
guomutian911的专栏
01-05 9616
while(1);  是死循环的意思。只要括号里为非零,也就是真值,它就一直循环这条句子。 这个语句一般用在三个方面: 1.正常程序里,用来等待断的产生; 2.在总程序的后面加上这条,可以防止单片机程序跑飞,出现程序可能的混乱; 3.调试的时候,手工让程序停在一个地方,不往下执行,以便于观察输出的情况。
Cannot find module ‘html-webpack-plugin
qq_43071699的博客
07-26 452
安装。在Webpack配置文件正确引用。清除缓存并重新安装依赖(如果需要)。确保Webpack版本与兼容。检查文件。按照这些步骤操作,你应该能够解决的问题。如果问题仍然存在,请提供更多信息,以便进一步诊断。
Hutool——发送http请求案例
最新发布
专注写bug
07-29 414
在实际开发过程,微服务环境下往往采取openfeign实现服务与服务之间的请求调用。但有时候需要调用第三方API的情况,虽然在spring boot 框架提供了请求模板,但这个不怎么好用。市面上支持http调用的框架技术很多,比如okhttp等。本篇文章重点说明Hutool给我们封装的请求方法类。/*** 调用post 接口发送get请求* @return。
HTTP请求入参类型解读
Bekind2010的专栏
07-24 1086
在HTTP请求,请求头用于指示资源的MIME类型,即请求体的媒体类型。它告诉服务器实际发送的数据类型是什么,以便服务器能够正确地解析和处理这些数据。可以有多种值,每种值都对应着不同的媒体类型。以下是一些常见的?enctypeenctypeform-datatext/plaintext/plaintext/htmltext/htmltext/xmltext/xmltext/xml每种都对应着不同的数据格式和用途,选择合适的对于确保数据被正确解析和处理至关重要。
ava后台调用post请求,如何对响应参数进行封装操作?如何代码实现?
03-24
对于这个问题,我们可以使用 Java 的 HttpUrlConnection 类来发送 POST 请求,并使用 Gson 库将响应参数封装成对象。...在获取响应后,我们使用 Gson 库将响应参数封装成 MyResponseObject 对象,以方便后续操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值