阅读了 this 这个问题,问为什么谷歌/脸书等会在他们的JSON响应中添加无法解析的冗余代码,例如:
while(1);for(;;);&&&START&&& ... &&&END&&&我已经理解了动机。但是我仍然不清楚为什么要使用这些相对复杂的机制,当可以通过以下方式实现类似的效果:
)使整行无效并出现语法错误while(1);的解决方法进行了批评(指出1可能会被覆盖),并拒绝了另一种形式的解决方法{}&&,但没有解释原因或引用任何来源。/*-secure-\n...*/中我认为有几个与无法解析的垃圾形式相关的细节:
{}&& 前缀的起源可以追溯到 JSON 解析器(例如较旧版本的 Dojo)未将 JSON 字符串验证为有效的 JSON 语法。现在我知道的所有 JSON 解析库都进行验证,但是这篇来自2008年的博客文章表明,所述版本的 dojo 允许正常地 JSON.parse json,而 eval 将失败,这会方便地保护针对 JSON 的劫持攻击。
while(1) 可以使用 Number 原型赋值 0 给 1 来失效。
for(;;) 和 while(1) 都会导致网站崩溃,这在某种程度上增加了保护,因为任何进一步执行任何脚本的操作都将被完全停止而没有错误。这很重要,因为按照定义,javascript 中的错误不标记脚本执行的结尾,而 for(;;) 确保在其之后没有任何脚本被执行。这是为了防止可能情况下攻击者成功地通过利用 window.onerror 的弱点、重写 eval 或代理错误对象实例化(如重写 Error.prototype 的 constructor)来拦截脚本错误。
更新
同时还有这个关于安全性的问题建议不要使用for(;;)或者while(1),因为这样会让人误以为你的网站正在攻击客户端的CPU或触发恶意软件扫描器。我认为现代浏览器运行在沙盒环境和按Tab分隔的基础上,不存在严重的DoS问题。但对于旧的浏览器来说确实是个问题。而恶意软件扫描器则是一个真正的问题,可能会将你的网站报告为攻击源。
&&&START&&&(以及相应的&&&END&&&标签)比仅使用)或可能会无意中关闭的注释更容易解析接收JSON数据的客户端,并且能够提高程序员的可读性和可见性。使用注释只是一种变化,因为它提供了/*开始和*/结束标记。在我看来,清晰明显的起始和结束标记有助于注意到这些无用信息的含义。使用注释并不能真正提供这种效果。
var test = 1;
console.log(test.constructor == window.Number); //true is logged
理论上可能存在一种可能性,即有一种方法可以修改window.Number或其原型,使得1的值不是1:
window.Number.prototype.toString = function() { return 0 };
window.Number.prototype.valueOf = function() { return 0 };
幸运的是这个方法并不起作用。但我认为这可能是作者想要表达的。
编辑
通常我也倾向于使用将内容包装在注释中的方法(但必须确保您的 JSON 对象不包含类似 {"test":"*/"} 这样的内容,因为这会导致语法错误。即使可以抛出异常,可能也会成为一个问题,因为它是否可被捕获以及可能会暴露出关于错误发生行的一些信息。或者如果 Error 对象本身可以修改,那也可能会有问题)。
)前缀),但那么&&&START&&& ... &&&END&&&是做什么的? - Manavfor(;;)或while(1)与&&&START&&&结合使用的一个原因是,首先尝试通过语法错误停止脚本的执行。如果这样做不起作用,至少可以通过无限循环阻止恶意网站。但说实话,我还需要再进行一些进一步的阅读。但我认为任何可以解析为代码或引发异常的内容都可能是有害的。 - t.niese