为什么 Google 在前面添加 while(1);他们的 JSON 响应？

谷歌为什么要前置while(1);他们的（私人）JSON 响应？

例如，以下是打开和关闭日历时的响应谷歌日历 https://calendar.google.com/calendar/about/:

while (1);
[
  ['u', [
    ['smsSentFlag', 'false'],
    ['hideInvitations', 'false'],
    ['remindOnRespondedEventsOnly', 'true'],
    ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'],
    ['Calendar ID stripped for privacy', 'false'],
    ['smsVerifiedFlag', 'true']
  ]]
]

我认为这是为了防止人们做eval()就可以了，但你真正要做的就是更换while然后你就准备好了。我认为 eval 预防是为了确保人们编写安全的 JSON 解析代码。

我也曾在其他几个地方看到过这种用法，但在 Google（邮件、日历、通讯录等）中使用得更多。奇怪的是，谷歌文档 https://www.google.com/docs/about/以。。开始&&&START&&&相反，Google 通讯录似乎以while(1); &&&START&&&.

这里发生了什么？

它可以防止JSON劫持 http://haacked.com/archive/2009/06/25/json-hijacking.aspx，一个主要的 JSON 安全问题，已正式发布fixed https://security.stackexchange.com/questions/155518/why-json-hijacking-attack-doesnt-work-in-modern-browsers-how-was-it-fixed在所有主要浏览器中自2011年起 https://caniuse.com/#feat=es5使用 ECMAScript 5。

人为的例子：假设 Google 有一个类似的 URLmail.google.com/json?action=inbox它以 JSON 格式返回收件箱的前 50 条消息。由于同源策略，其他域上的恶意网站无法发出 AJAX 请求来获取此数据，但它们可以通过<script>标签。该 URL 的访问方式为your饼干，并通过覆盖全局数组构造函数或访问器方法 http://ejohn.org/blog/re-securing-json/每当设置对象（数组或散列）属性时，它们就可以调用一个方法，从而允许它们读取 JSON 内容。

The while(1); or &&&BLAH&&&防止这种情况发生：AJAX 请求位于mail.google.com将具有对文本内容的完全访问权限，并可以将其删除。但一个<script>标签插入盲目地执行 JavaScript 而不进行任何处理，从而导致无限循环或语法错误。

这并没有解决以下问题跨站请求伪造 https://en.wikipedia.org/wiki/Cross-site_request_forgery.