В DrupalJedi у нас каждый вечер проводятся вечерние стендапы, где разработчики делятся знаниями, которые получили в течение рабочего дня. Теперь мы будем публиковать самое интересное из наших стендапов в блог ДрупалСиба с меткой "standup".
JSON - текстовый формат, который может исспользоваться в любом языке программирования для обмена данными.
JSON - текстовый формат, который может исспользоваться в любом языке программирования для обмена данными.
Google также использует JSON для передачи данных между своими сервисами. Такой JSON зачастую передает конфиденциальные данные, которые злоумышленники могут захотеть украсть, использовав JSON у себя на сайте. Получить его можно подключить к сайту как js файл. Поэтому, для безопасности, google добавляет в начало своего JSON файла строки “while(1);” или &&&START&&&.
Пример: while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'],['remindOnRespondedEventsOnly','true'],['hideInvitations_remindOnRespondedEventsOnly','false_true'],['Calendar ID stripped for privacy','false'],['smsVerifiedFlag','true']]]]
Как только такой код попадет в теги <script> в html документе, он исполнится как js и в результате это приведет к бесконечному циклу или синтаксической ошибке. Почему же этот хак не мешает работе самих сервисов google? Потому что они работают с JSONом через AJAX запросы, выполнение же AJAX запросов на разные домены запрещены.
Комментариев нет:
Отправить комментарий