Почему Google работает в то время как (1); на их ответы JSON?

Question

Почему Google работает в то время как (1); на их ответы JSON?

3469

Почему Google добавляет while(1); в свои (частные) ответы JSON?

Например, здесь ответ при включении и выключении календаря в Календаре Google:

while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'],
  ['remindOnRespondedEventsOnly','true'],
  ['hideInvitations_remindOnRespondedEventsOnly','false_true'],
  ['Calendar ID stripped for privacy','false'],['smsVerifiedFlag','true']]]]

Я бы предположил, что это не позволяет людям делать eval() на нем, но все, что вам действительно нужно сделать, это заменить while, а затем вы должны быть установлены. Я бы предположил, что предотвращение eval состоит в том, чтобы убедиться, что люди пишут безопасный код анализа JSON.

Я видел, что это использовалось и в нескольких других местах, но гораздо больше - с Google (Mail, Calendar, Contacts и т.д.). Как ни странно, Документы Google начинается с &&&START&&&, а Google Contacts начинается с while(1); &&&START&&&.

Что здесь происходит?

Jess 19 апр. 2010, в 18:08

Источник

36

Я считаю, что ваше первое впечатление верно. Если вы начнете искать код и попытаетесь обрезать входной поток в зависимости от источника, вы пересмотрите и сделаете это безопасным (и благодаря действиям Google, более простым) способом.
Esteban Küber 19 апр. 2010, в 18:04
20

Вероятно, последующий вопрос: почему Google prepend )]}' сейчас вместо while(1); ? Будут ли ответы такими же?
Gizmo 16 фев. 2017, в 18:51
1

Помешал бы eval, но не с бесконечной петлей.
Mardoxx 06 май 2017, в 20:27
5

Это )]}' также может быть для сохранения байтов, например, Facebook используется for(;;); который сохраняет один байт :)
Gras Double 08 июль 2017, в 20:55
2

Указание на предотвращение раскрытия json, т. Е. Угона JSON hijacking
Ashraf.Shk786 08 авг. 2017, в 08:05

Показать ещё 3 комментария

Теги:

javascript

ajax

json

security

6 ответов

480

Это предотвращает раскрытие ответа через угон JSON.

Теоретически содержимое HTTP-ответов защищено одной и той же политикой происхождения: страницы из одного домена не могут получать какие-либо фрагменты информации со страниц из другого домена (если это явно не разрешено).

Злоумышленник может запросить страницы в других доменах от вашего имени, например, используя <script src=...> или <img>, но он не может получить никакой информации о результате (заголовки, содержимое).

Таким образом, если вы посетите страницу злоумышленника, он не сможет прочитать вашу электронную почту с gmail.com.

За исключением того, что при использовании тега сценария для запроса содержимого JSON JSON выполняется как Javascript в среде, контролируемой злоумышленником. Если злоумышленник может заменить конструктор Array или Object или какой-либо другой метод, используемый во время конструирования объекта, все, что в JSON, пройдет через код злоумышленника и будет раскрыто.

Обратите внимание, что это происходит во время выполнения JSON как Javascript, а не во время его анализа.

Есть несколько контрмер:

Убедитесь, что JSON никогда не выполняется

Размещая некоторое while(1); Заявление перед данными JSON, Google гарантирует, что данные JSON никогда не выполняются как Javascript.

Только легальная страница может на самом деле получить весь контент, убрав while(1); и проанализировать остаток как JSON.

Вещи, как for(;;); например, были замечены на Facebook с такими же результатами.

Убедитесь, что JSON не является допустимым Javascript

Аналогичным образом, добавление недопустимых токенов перед JSON, например &&&START&&&, гарантирует, что он никогда не будет выполнен.

Всегда возвращайте JSON с Объектом снаружи

Это рекомендуемый OWASP способ защиты от взлома JSON, и он менее навязчив.

Подобно предыдущим контрмерам, он гарантирует, что JSON никогда не выполняется как Javascript.

Допустимый объект JSON, если он ничем не заключен, недопустим в Javascript:

eval('{"foo":"bar"}')
// SyntaxError: Unexpected token :

Это, однако, действительный JSON:

JSON.parse('{"foo":"bar"}')
// Object {foo: "bar"}

Таким образом, гарантируя, что вы всегда возвращаете Object на верхнем уровне ответа, убедитесь, что JSON не является допустимым Javascript, но при этом остается действительным JSON.

Как отмечает @hvd в комментариях, пустой объект {} является допустимым Javascript, и знание того, что объект пуст, само по себе может быть ценной информацией.

Сравнение вышеуказанных методов

Способ OWASP менее навязчив, так как не требует изменений клиентской библиотеки и передает действительный JSON. Однако неизвестно, могут ли прошлые или будущие ошибки браузера победить это. Как отмечает @oriadam, неясно, могут ли данные быть пропущены в результате ошибки синтаксического анализа при обработке ошибок или нет (например, window.onerror).

В способе Google требуется клиентская библиотека, чтобы она поддерживала автоматическую десериализацию, и ее можно считать более безопасной в отношении ошибок браузера.

Оба метода требуют изменений на стороне сервера, чтобы разработчики не могли случайно отправить уязвимый JSON.

arnaud576875 02 фев. 2014, в 12:15

20

Рекомендация OWASP интересна своей простотой. Кто-нибудь знает причину безопасности Google?
funroll 15 март 2014, в 01:47
14

Я считаю, что это не более безопасно в любом случае. Предоставление OWASP здесь кажется достаточно веской причиной для +1.
vaxquis 12 апр. 2014, в 15:54
6

Какие браузеры в 2014 году позволили вам заменить конструктор Array или Object?
Filipe Giusti 09 июль 2014, в 18:49
1

Как метод OWASP помешает людям просто использовать метод JSONP для получения данных? Мне кажется, что метод Google предотвращает это, не обслуживая допустимый объект JSON, тогда как метод OWASP говорит, что нужно использовать действительный объект JSON, чтобы его нельзя было выполнить как javascript.
John Dorn 28 авг. 2014, в 15:44
2

JSONP требует участия сервера, и поскольку задача JSONP - разрешить междоменный доступ к рассматриваемым данным, я не думаю, что сервер будет обеспокоен предотвращением междоменного доступа к этим данным.
Kelsey Francis 29 авг. 2014, в 02:08
0

Я предположил, что если вам нужно использовать JSONP, вы можете попытаться использовать токены CSRF каким-то умным (вероятно, небезопасным) способом.
Kelsey Francis 29 авг. 2014, в 02:19
23

Возможно, стоит отметить, почему возвращение литерала объекта приводит к script тега script или функции eval . Скобки {} можно интерпретировать как блок кода или литерал объекта, и сам по себе JavaScript предпочитает первый. Как блок кода, он, конечно, недействителен. По этой логике я не вижу никаких ожидаемых изменений в будущем поведении браузера.
Manngo 08 нояб. 2015, в 10:59
2

Я удивлен, что они не используют метод удаления первого символа: "a":1,"b":2} или 1,2,3] не являются допустимыми JS и никогда не будут, и их очень легко добавить правильный символ в соответствии с последним. Google и Facebook сэкономят миллионы ТБ.
oriadam 06 дек. 2015, в 17:55
12

Плохого кода недостаточно, потому что злоумышленник может также захватить обработчик ошибок скрипта браузера ( window.onerror ). Я не уверен, каково поведение onerror с ошибками синтаксиса. Я думаю, Google тоже не был уверен.
oriadam 06 дек. 2015, в 23:06
2

Если это API, требующий авторизации, другой контрмерой (которую вы должны использовать в любом случае) являются токены CSRF. Без действительного токена CSRF сервер может полностью отклонить запрос злоумышленника.
gengkev 19 фев. 2016, в 02:39
8

«Действительный объект JSON, если он ничем не заключен, недопустим в Javascript:» - За исключением тривиального случая пустого объекта ( {} ), который также является допустимым пустым блоком. Если знание того, что объект пуст, само по себе может быть ценной информацией, это может быть использовано.
user743382 06 май 2017, в 20:50
2

Средний API всегда возвращает непустой объект, но все еще с префиксом. Пример: ])}while(1);</x>{'success': true, 'payload': {}} Кто-нибудь знает причины этого?
kmmbvnr 29 май 2017, в 02:59
1

@kmmbvnr: В основном по тем же причинам, это параноидальная мера безопасности: они делают это на тот случай, если возврата объекта недостаточно, чтобы защитить его от взлома JSON с какой-то прошлой версией браузера или с некоторым контекстом, который еще предстоит обнаружить.
Arnaud Le Blanc 20 окт. 2017, в 09:26

Показать ещё 11 комментариев

332

Это делается для того, чтобы какой-то другой сайт не смог сделать неприятные трюки, чтобы попытаться украсть ваши данные. Например, заменив конструктор array, затем включив этот URL JSON с помощью тега <script>, сайт-сайт вредоносного third- мог бы украсть данные из ответа JSON. Помещая while(1); в начале, вместо этого будет script.

A same- запрос сайта с использованием XHR, а отдельный анализатор JSON, с другой стороны, может легко игнорировать префикс while(1);.

bdonlan 16 май 2009, в 02:57

0

Я предполагаю, что XHR может быть выдан только одному серверу домена с аутентификацией. Как «другой сайт» может перехватить ответ? Можете ли вы дать более подробную информацию о том, как «другие сайты» крадут наши данные?
Morgan Cheng 16 май 2009, в 02:36
6

Технически, «нормальный» анализатор JSON должен выдавать ошибку, если у вас есть префикс.
Matthew Crumley 16 май 2009, в 03:31
12

Злоумышленники просто используют старый элемент <script> , а не XHR.
Laurence Gonsalves 16 май 2009, в 04:22
9

@ Matthew, конечно, но вы можете удалить его перед передачей данных в анализатор JSON. Вы не можете сделать это с тегом <script>
bdonlan 24 фев. 2011, в 12:54
0

@bdonian: Конечно. Я просто был педантиком и хотел убедиться, что никто не запутался в JSON. Мне нравится новая формулировка намного лучше :)
Matthew Crumley 25 фев. 2011, в 00:03
0

Спасибо - у нас есть какие-то подходящие термины для описания такого рода мер безопасности? Я видел, как Facebook использует for(;;); в своих звонках. Я полагаю, это тоже механизм, но более короткая альтернатива?
Lionel Chan 30 окт. 2012, в 07:10
7

Есть ли примеры этого? На замену конструктора массива ссылаются снова, но эта ошибка давно исправлена. Я не понимаю, как можно было бы получить доступ к данным, полученным через тег script. Я хотел бы видеть фиктивную реализацию, которая работает в недавнем браузере.
Dennis G 05 фев. 2013, в 13:37
2

В блоге Джона Резига он упоминает очень старые браузеры. Кто-нибудь знает, является ли этот эксплойт все еще проблемой современных браузеров?
joeltine 06 фев. 2013, в 19:07
7

@ joeltine, нет, это не так. См. Stackoverflow.com/questions/16289894/… .
user69173 03 июнь 2013, в 19:44
3

Если это предотвратит угон JSON, то /*[...]*/ тоже сработает?
Derek 朕會功夫 23 янв. 2014, в 02:23

Показать ещё 8 комментариев

96

Это было бы затруднительно для сторон third- вставить ответ JSON в HTML-документ с тегом <script>. Помните, что тег <script> освобожден от Политика одинакового происхождения.

Daniel Vassallo 19 апр. 2010, в 19:35

20

Это только половина ответа. Если бы не хитрость переопределения конструкторов Object и Array , выполнение правильного ответа JSON, как если бы это был JavaScript, было бы абсолютно безвредным при любых обстоятельствах. Да, while(1); предотвращает выполнение ответа в виде JavaScript, если на него указывает тег <script> , но ваш ответ не объясняет, почему это необходимо.
Mark Amery 17 янв. 2014, в 09:37
0

но как это предотвратит фреймы
Ravinder Payal 03 авг. 2016, в 16:24
1

Теги @RavinderPayal <iframe> не освобождаются от той же политики происхождения ...
YoYoYonnY 06 сен. 2017, в 16:28
0

Тег сценария никогда не освобождается от той же политики происхождения. Не могли бы вы прояснить это для меня?
Suraj Jain 03 июнь 2018, в 14:59

Показать ещё 2 комментария

68

Это предотвращает его использование в качестве цели простого тега <script>. (Ну, это не мешает, но это делает его неприятным.) Таким образом, плохие парни не могут просто поместить этот тег script на свой собственный сайт и полагаться на активный сеанс, чтобы можно было получить ваш контент.

edit — обратите внимание на комментарий (и другие ответы). Проблема связана с подрывными built- на объектах, в частности с конструкторами Object и Array. Они могут быть изменены таким образом, чтобы в противном случае безобидный JSON при анализе мог вызвать код злоумышленника.

Pointy 19 апр. 2010, в 19:19

15

Это только половина ответа. Если бы не хитрость переопределения конструкторов Object и Array , выполнение правильного ответа JSON, как если бы это был JavaScript, было бы абсолютно безвредным при любых обстоятельствах. Да, while(1); предотвращает выполнение ответа в виде JavaScript, если на него указывает тег <script> , но ваш ответ не объясняет, почему это необходимо.
Mark Amery 17 янв. 2014, в 09:39

7

Поскольку <script> освобожден от той же политики происхождения, что является необходимостью безопасности в веб-мире, while(1) при добавлении в ответ JSON предотвращает его неправильное использование в <script>.

kg11 18 авг. 2017, в 05:16

Ещё вопросы

Я считаю, что ваше первое впечатление верно. Если вы начнете искать код и попытаетесь обрезать входной поток в зависимости от источника, вы пересмотрите и сделаете это безопасным (и благодаря действиям Google, более простым) способом.
Вероятно, последующий вопрос: почему Google prepend )]}' сейчас вместо while(1); ? Будут ли ответы такими же?
Помешал бы eval, но не с бесконечной петлей.
Это )]}' также может быть для сохранения байтов, например, Facebook используется for(;;); который сохраняет один байт :)
Указание на предотвращение раскрытия json, т. Е. Угона JSON hijacking
Рекомендация OWASP интересна своей простотой. Кто-нибудь знает причину безопасности Google?
Я считаю, что это не более безопасно в любом случае. Предоставление OWASP здесь кажется достаточно веской причиной для +1.
Какие браузеры в 2014 году позволили вам заменить конструктор Array или Object?
Как метод OWASP помешает людям просто использовать метод JSONP для получения данных? Мне кажется, что метод Google предотвращает это, не обслуживая допустимый объект JSON, тогда как метод OWASP говорит, что нужно использовать действительный объект JSON, чтобы его нельзя было выполнить как javascript.
JSONP требует участия сервера, и поскольку задача JSONP - разрешить междоменный доступ к рассматриваемым данным, я не думаю, что сервер будет обеспокоен предотвращением междоменного доступа к этим данным.
Я предположил, что если вам нужно использовать JSONP, вы можете попытаться использовать токены CSRF каким-то умным (вероятно, небезопасным) способом.
Возможно, стоит отметить, почему возвращение литерала объекта приводит к script тега script или функции eval . Скобки {} можно интерпретировать как блок кода или литерал объекта, и сам по себе JavaScript предпочитает первый. Как блок кода, он, конечно, недействителен. По этой логике я не вижу никаких ожидаемых изменений в будущем поведении браузера.
Я удивлен, что они не используют метод удаления первого символа: "a":1,"b":2} или 1,2,3] не являются допустимыми JS и никогда не будут, и их очень легко добавить правильный символ в соответствии с последним. Google и Facebook сэкономят миллионы ТБ.
Плохого кода недостаточно, потому что злоумышленник может также захватить обработчик ошибок скрипта браузера ( window.onerror ). Я не уверен, каково поведение onerror с ошибками синтаксиса. Я думаю, Google тоже не был уверен.
Если это API, требующий авторизации, другой контрмерой (которую вы должны использовать в любом случае) являются токены CSRF. Без действительного токена CSRF сервер может полностью отклонить запрос злоумышленника.
«Действительный объект JSON, если он ничем не заключен, недопустим в Javascript:» - За исключением тривиального случая пустого объекта ( {} ), который также является допустимым пустым блоком. Если знание того, что объект пуст, само по себе может быть ценной информацией, это может быть использовано.
Средний API всегда возвращает непустой объект, но все еще с префиксом. Пример: ])}while(1);</x>{'success': true, 'payload': {}} Кто-нибудь знает причины этого?
@kmmbvnr: В основном по тем же причинам, это параноидальная мера безопасности: они делают это на тот случай, если возврата объекта недостаточно, чтобы защитить его от взлома JSON с какой-то прошлой версией браузера или с некоторым контекстом, который еще предстоит обнаружить.
Я предполагаю, что XHR может быть выдан только одному серверу домена с аутентификацией. Как «другой сайт» может перехватить ответ? Можете ли вы дать более подробную информацию о том, как «другие сайты» крадут наши данные?
Технически, «нормальный» анализатор JSON должен выдавать ошибку, если у вас есть префикс.
Злоумышленники просто используют старый элемент <script> , а не XHR.
@ Matthew, конечно, но вы можете удалить его перед передачей данных в анализатор JSON. Вы не можете сделать это с тегом <script>
@bdonian: Конечно. Я просто был педантиком и хотел убедиться, что никто не запутался в JSON. Мне нравится новая формулировка намного лучше :)
Спасибо - у нас есть какие-то подходящие термины для описания такого рода мер безопасности? Я видел, как Facebook использует for(;;); в своих звонках. Я полагаю, это тоже механизм, но более короткая альтернатива?
Есть ли примеры этого? На замену конструктора массива ссылаются снова, но эта ошибка давно исправлена. Я не понимаю, как можно было бы получить доступ к данным, полученным через тег script. Я хотел бы видеть фиктивную реализацию, которая работает в недавнем браузере.
В блоге Джона Резига он упоминает очень старые браузеры. Кто-нибудь знает, является ли этот эксплойт все еще проблемой современных браузеров?
@ joeltine, нет, это не так. См. Stackoverflow.com/questions/16289894/… .
Если это предотвратит угон JSON, то /*[...]*/ тоже сработает?
Это только половина ответа. Если бы не хитрость переопределения конструкторов Object и Array , выполнение правильного ответа JSON, как если бы это был JavaScript, было бы абсолютно безвредным при любых обстоятельствах. Да, while(1); предотвращает выполнение ответа в виде JavaScript, если на него указывает тег <script> , но ваш ответ не объясняет, почему это необходимо.
Теги @RavinderPayal <iframe> не освобождаются от той же политики происхождения ...
Тег сценария никогда не освобождается от той же политики происхождения. Не могли бы вы прояснить это для меня?
Это только половина ответа. Если бы не хитрость переопределения конструкторов Object и Array , выполнение правильного ответа JSON, как если бы это был JavaScript, было бы абсолютно безвредным при любых обстоятельствах. Да, while(1); предотвращает выполнение ответа в виде JavaScript, если на него указывает тег <script> , но ваш ответ не объясняет, почему это необходимо.

rjh · Accepted Answer · 2010-04-19T18-33-00.000Z

4078

Лучший ответ

Он предотвращает угон JSON, серьезную проблему безопасности JSON, которая официально исправлена во всех основных браузерах с 2011 года с помощью EMCA5.

Придуманный пример: скажем, у Google есть URL-адрес, такой как mail.google.com/json?action=inbox который возвращает первые 50 сообщений из вашего mail.google.com/json?action=inbox ящика в формате JSON. Злые сайты в других доменах не могут отправлять запросы AJAX на получение этих данных из-за политики того же происхождения, но они могут включать URL-адрес через <script>. URL посещают ваши куки, и, переопределяя конструктор глобального массива или методы доступа, они могут иметь метод, вызываемый всякий раз, когда установлен атрибут объекта (массива или хеша), позволяющий им читать содержимое JSON.

Время while(1); или &&&BLAH&&& предотвращает это: запрос AJAX на mail.google.com будет иметь полный доступ к текстовому контенту и может его убрать. Но вставка тега <script> слепо выполняет JavaScript без какой-либо обработки, что приводит либо к бесконечному циклу, либо к синтаксической ошибке.

Это не решает проблему подделки межсайтовых запросов.

rjh 19 апр. 2010, в 18:33

216

Почему для запроса на получение этих данных не требуется CSRF-токен?
Jakub P. 03 фев. 2013, в 01:43
5

Разве возвращение объекта, содержащего массив, вместо массива напрямую, также не решит проблему?
Pedro Felix 03 фев. 2013, в 18:26
218

Делает for(;;); делать ту же работу? Я видел это в ответах ajax на Facebook.
King Julien 04 фев. 2013, в 08:27
4

@PedroFelix Нет, это не решило бы проблему, так как те же самые атаки, упомянутые в посте, все еще могли быть выполнены. Переопределение методов доступа для получения информации.
Boushley 05 фев. 2013, в 02:36
168

@JakubP. Хранение и поддержание CSRF-токенов в масштабах Google требует большого количества инфраструктуры и затрат.
abraham 05 фев. 2013, в 05:12
117

@JakubP. токены anti-CSRF портят кеширование и требуют некоторой криптографической оценки на стороне сервера. В масштабах Google это потребует много ресурсов процессора. Этот вид разгружает это клиенту.
bluesmoon 05 фев. 2013, в 06:10
7

Salesforce.com также добавляет AJAX-ответы с помощью while(1);
Eric 05 фев. 2013, в 07:30
14

@JakubP Зачем использовать токен CSRF, когда существует простое решение, которое не требует инфраструктуры, сложности или реализации?
Alex Neth 05 фев. 2013, в 12:06
20

Почему бесконечный цикл вместо простой синтаксической ошибки (для сохранения символов)? Вы можете просто начать файл с ) .
dave1010 05 фев. 2013, в 13:01
8

Итак, вы говорите, что когда Google получает ответ на возвращенные данные из своего законного запроса AJAX, они находят / заменяют или используют регулярное выражение для удаления while(1); ?
Scott 05 фев. 2013, в 14:15
10

Я не люблю трюки. Разве это не решается всегда возвращая объект?
Dave Van den Eynde 05 фев. 2013, в 14:42
9

@DaveVandenEynde нет, см. Ссылку о переопределении глобального конструктора Array; то же самое можно сделать для конструктора глобального объекта
matt b 05 фев. 2013, в 15:11
11

Это решение кажется слишком сложным ... разве вы не можете предотвратить атаку, не возвращая JSON по запросу HTTP GET?
dan 05 фев. 2013, в 15:38
12

Это для предотвращения XSSI, а не CSRF.
Dan 05 фев. 2013, в 19:53
4

Если сценарий, генерирующий JSON, требует POST, а не GET-запрос - это полностью снижает этот риск?
cstrat 06 фев. 2013, в 08:17
5

С точки зрения безопасности, сработают ли комментарии открытого блока? (т.е. "/ *")
Chris Tonkinson 06 фев. 2013, в 18:42
16

Ошибка @ dave1010 все еще недостаточно хороша. Вы все еще можете прочитать содержимое тега скрипта. пока (1) повесит переводчика.
0xSina 07 фев. 2013, в 18:37
6

@mattb Я не уверен. Вы не можете загрузить литерал объекта с помощью тега script. Вот почему WCF и OData переносят массивы в объект со свойством d.
Dave Van den Eynde 10 фев. 2013, в 14:40
4

@Boushley: нет, поскольку это будет синтаксическая ошибка ( { на уровне оператора начинается блок).
Arnaud Le Blanc 14 фев. 2013, в 21:03
4

@rjh: поскольку литерал объекта верхнего уровня является синтаксической ошибкой; не будет ли возвращение объектов вместо массивов решить проблему?
Arnaud Le Blanc 14 фев. 2013, в 21:04
6

@ 0xSina вы не можете прочитать содержимое тега скрипта
Arnaud Le Blanc 14 фев. 2013, в 21:07
2

Что может помешать мне очистить ответ JSON и затем удалить его while(); оператор с языком сценария, а затем eval() это? И разве мне обычно не нужно заходить на сайт, чтобы получить доступ к таким чувствительным JSON? Просто интересуюсь.
silkfire 14 июнь 2013, в 11:24
13

@silkfire тот факт, что междоменный XHR не работает. Тег script используется исключительно для возможности отправки запроса. Итак, что происходит, ответ загружается и запускается, но вы не можете ничего контролировать между ними.
MarioDS 14 июнь 2013, в 12:27
2

@MDeSchaepmeester Нет, я имею в виду, я могу ввести URL-адрес в браузере, а затем увидеть результаты, т.е. JSON полностью читаем?
silkfire 14 июнь 2013, в 13:17
12

@silkfire Если у вас есть файл cookie для входа в Gmail, вы увидите полный JSON для ваших данных (список контактов и т. д.). Но дело в том, что вы запускаете страницу на клиенте вашей жертвы. Таким образом, тег script отправляет запрос на получение того, что находится в его атрибуте src , с файлами cookie жертвы . Таким образом, ответ будет содержать данные для жертвы, но ваш сценарий находится под контролем, поэтому вы можете делать с ним все, что захотите.
MarioDS 14 июнь 2013, в 15:23
5

@silkfire Хак для получения данных работает, заменяя конструктор массива на тот, который отправляет данные на злой сервер. Поскольку while (1) мешает eval достичь массива, хак не работает, так как конструктор массива никогда не срабатывает. Из ответа ниже ejohn.org/blog/re-securing-json
Danack 17 июнь 2013, в 00:52
3

@ arnaud576875 - я получаю то , что вы говорите, но вы можете прочитать содержимое тегов сценария (это то , как это делается большинство на стороне клиента шаблонный, например ). Просто вы можете читать только локальное содержимое тега сценария, а не удаленное содержимое ( скрипку ).
mlhDev 14 нояб. 2013, в 17:01
4

@ Матфея мы говорим о междоменном раскрытии данных; очевидно, если сценарий является локальным, это делает все обсуждаемое здесь неактуальным.
Arnaud Le Blanc 18 нояб. 2013, в 09:52
0

Защита CSRF все еще требуется для запросов POST.
Michael Mior 30 дек. 2013, в 01:12
88

Мне кажется, что лучшим способом было бы позволить серверу отправлять JSON, только если был установлен правильный заголовок. Это можно сделать с помощью вызова AJAX, но не с помощью тегов сценария. Таким образом, конфиденциальная информация даже не отправляется, и вам не нужно полагаться на безопасность на стороне браузера.
mcv 30 дек. 2013, в 15:06
2

@mcv. Заголовки действительно являются хорошим стандартным решением. Но почему «лучше»? Возможно, в масштабе Google, даже обработки заголовков следует избегать, если это возможно.
Greg 20 окт. 2014, в 01:53
9

Я думаю, что лучше вообще не отправлять конфиденциальные данные, чем отправлять данные, полагая, что браузер не сможет их обработать. Хотя в подобных случаях доверие к браузеру неизбежно. Очевидно, что в полностью скомпрометированном браузере нет ничего безопасного.
mcv 20 окт. 2014, в 10:26
10

@mcv Если контент где-то был кэширован, это не будет эффективным.
John Hascall 27 май 2015, в 15:20
3

как насчет while(1) alert('go away hacker!'); ?
Mo Valipour 29 май 2015, в 08:23
58

@Valipour человек, который увидит ваше предупреждение, не хакер.
Nick Coad 11 июнь 2015, в 04:00
8

Это все еще актуально сегодня (2015)? Все сообщения в блоге, которые я могу найти в этом докладе о Firefox 3 и Chrome 2, и что дыра в спецификации JS будет / может измениться. Эта безопасность все еще присутствует сегодня в браузерах 2015 года?
DuckMaestro 18 авг. 2015, в 00:22
5

@DuckMaestro, если вы попытаетесь использовать function Array() { console.log('security breach!'); } в Chrome вы получите ответ
pilau 22 окт. 2015, в 11:33
1

Это также относится к тегам <img> , которые не относятся к политике одного и того же происхождения.
ErikE 03 нояб. 2015, в 01:07
5

@mcv Вы по-прежнему полагаетесь на безопасность браузера, и на самом деле этого не существует - в конечном счете, пользователь использует браузер для доступа к своим данным :) Например, ваш браузер может разрешать произвольные запросы AJAX, и в этом случае вы даже не понадобится этот трюк. Пока вы продолжаете использовать куки-файлы для аутентификации, вы обязательно должны полагаться на то, что браузер обрабатывает куки-файлы безопасным способом - это включает в себя изоляцию домена и одинаковую политику происхождения. Это не сервер, который блокирует этот межсайтовый AJAX-запрос - как он узнает, что он межсайтовый без браузера?
Luaan 04 янв. 2016, в 14:22
5

@King Julien - да, и у них есть преимущество в экономии 1 байта на запрос!
John D. 15 март 2016, в 19:29
0

@mvc ты забыл масштаб. для небольшого сайта это, вероятно, не будет иметь значения. когда вы обрабатываете миллионы запросов, таких как Google, вы должны рассмотреть возможность перекладывания работы на клиента, чтобы сэкономить расходы. Заголовки должны быть оценены на стороне сервера
Jörn Berkefeld 23 март 2016, в 14:19
1

Что если кто-нибудь загрузит этот URL в IFRAME, а затем скопирует содержимое IFRAME ???????????
Ravinder Payal 03 авг. 2016, в 16:18
6

@RavinderPayal Они не могут. Защита XSS не позволяет JS читать содержимое IFRAME из другого домена.
Hereblur 04 авг. 2016, в 03:48
0

Что также подразумевает, что старая технология Comet должна быть реализована в одном домене ...... Хорошо, оставьте это ..... Браузеры также различают субдомены ......
Ravinder Payal 04 авг. 2016, в 06:26
3

Это все еще актуально? Поскольку эта проблема основана на этой уязвимости , которая была исправлена давно, как ответ, который я комментирую.
Legends 04 янв. 2017, в 15:46
1

Поэтому, если я захожу на скомпрометированную страницу, Google разряжает мою батарею. Я думаю, это необходимо из-за отсутствия синхронной функции sleep () в Javascript. т.е. пока (1) спит (Number.MAX_SAFE_INTEGER)
sscarduzio 06 май 2017, в 20:18
3

@sscarduzio нет, он работает некоторое время и выдает аварийное предупреждение сценария. Это до пользователя, чтобы остановить его.
Akash Kurian Jose 07 май 2017, в 03:38
1

Теперь мне очень любопытно, как и если для этого можно использовать элемент IMG: например, можно ли вставить вызов json в качестве IMG, а затем прочитать его содержимое. @ErikE упомянул, что while также защищает от IMG ??
João Antunes 07 май 2017, в 11:25
1

@ JoãoAntunes Посмотрите на угон конструктора массива.
ErikE 07 май 2017, в 14:17
0

@KingJulien Да, это просто еще один способ написать цикл. Не уверен, что лучше, хотя я думаю, что (1) используется больше для удобства чтения.
Brandito 26 фев. 2018, в 04:49

Показать ещё 48 комментариев