看完this关于为什么 google/facebook 等添加无法解析的内容的问题,例如:
while(1); for(;;);&&&START&&& ... &&&END&&&对于他们的 JSON 响应,我了解其动机。但我仍然不清楚为什么要使用这种相对复杂的机制,什么时候可以用类似的东西来实现类似的效果
) 以使整行无效并出现语法错误现在,这种对无限循环和(奇怪的)语法错误的附加保护似乎是为了绕过旧的和宽松的 javascript 解析器,但我似乎找不到任何表明这种情况的引用资料。还有一个SO question这甚至继续讨论 while(1); 解决方法(说明 1 可以被破坏)并拒绝 {}&& 形式的另一种解决方法,但没有解释原因或引用任何来源。
其他引用资料:
/*-secure-\n...*/最佳答案
我认为有几个细节与无法解析的垃圾的形式有关:
{}&& 前缀可以追溯到 JSON 解析器(显然,例如旧版本中的 Dojo)不验证 JSON字符串作为有效的 JSON 语法。我现在知道的所有 JSON 解析器库都进行验证,但是 this blog post从 2008 年开始建议,上述版本的 dojo 将允许 JSON.parse json 正常,而 eval 只会失败,这将为您提供针对 JSON 的方便保护 劫持。
while(1) 可以使用 Number 原型(prototype),通过将 0 分配为 1 的值。
for(;;) 和 while(1) 都具有使被劫持站点崩溃的效果,这确实在进一步增加保护的范围内任何脚本的执行都会有效地停止而不会出现错误。这一点很重要,因为定义的错误并不标志着 javascript 中脚本执行的结束,而 for(;;) 确保在它之后没有执行任何脚本。这是为了防止(afaik 假设的)攻击者通过利用 window.onerror 中的弱点、覆盖 eval 或代理错误对象实例化(如覆盖Error.prototype 的 constructor)。
更新
还有this question on security.stackexchange建议不要使用 for(;;) 或 while(1),因为这可能暗示您的网站正在 DoS 攻击客户端 CPU 或触发恶意软件扫描程序。我没有看到现代浏览器存在严重的 DoS 问题,因为它们运行沙盒并且基于每个选项卡。但这肯定是旧浏览器的问题。恶意软件扫描程序是一个真正的问题,可能会将您的网站报告为正在攻击。
&&&START&&&(以及相应的&&&END&&&标签)使得在客户端解析接收json比仅仅使用更容易)或可能无意中关闭的注释,并且可能会提高程序员的可读性和可见性。包含在注释中只是其中的一种变体,因为它提供了 /* 开始和 */ 结束标记。在我看来,开头和结尾的清晰标记有助于注意杂物的含义。使用评论并不能真正提供这一点。
https://stackoverflow.com/questions/14723226/