GoogleのJSON(モドキ)の先頭にwhile(1); がつく理由 - 葉っぱ日記

なぜGoogleはJSONの先頭に while(1); をつけるのか #JavaScript #HTML #Ajax #StackOverflow - Qiita これはクロスサイト・リクエスト・フォージェリ対策。違うよ！全然違うよ！ 攻撃者の作成した罠ページにてJSONを<script src="target.json">みたいに読み込んで、ゴニョゴニョやることでJSON内の機密情報に攻撃者がアクセス可能というのは合ってるけど、それを「クロスサイト・リクエスト・フォージェリ」とは言わない。無理に何か名前をつけて呼ぶとすれば、「JSON Hijacking」という俗称や、あるいは単純にクロスサイトでの情報漏えい、程度ですかね。 ちなみに、ArrayコンストラクタやObjectでのアクセサを定義してJSONをJSとして読み込んで内部にアクセスする手法は、現在のところ公にされているところでは古

[itochan]

コメントでついていけなくなった。難しい…　＞hasegawayosuke 2013/02/07 00:52 GETでCSRF可能というのであれば、while(1);つけてようがつけていまいが、script srcとして読んだ時点でCSRF成立します

[tmatsuu]

GmailのiframeテクでSPDYの効果が出なかった問題と同様に、あとで技術的負債になりそう

[ktakeda47]

コメント欄も面白い

[kkabetani]

こんなバッドノウハウ、ふつうの開発者は覚えておく必要ないです。

[kazhr]

こんなバッドノウハウ、ふつうの開発者は覚えておく必要ないです。

[otchy210]

ふむふむ。こういうカウンターがすぐ浮上するので助かる。はてブは優秀だな。

[raimon49]

コメント欄も

[ya--mada]

ふせぇーあくせす

[iww]

結局不正なアクセスに対する嫌がらせであることには変わりない

[tak4hir0]

GoogleのJSON(モドキ)の先頭にwhile(1); がつく理由 - 葉っぱ日記 なぜGoogleはJSONの先頭に while(1); をつけるのか #JavaScript #HTML #Ajax #StackOverflow - Qiita これはクロスサイト・リクエスト・フォージェリ対策。 違うよ！全然違うよ！攻撃

[sentas]

"違うよ！全然違うよ！"

[tyage]

while(1);がシンタックスエラーってのも気になった

[niku_uchi]

ふむ。

[fabled]

クロスサイト・リクエスト・フォージェリ対策ではないって話だって

[minamishinji]

ふむ

[masa-wo]

バッドノウハウか。

[invent]

GoogleのJSON(モドキ)の先頭にwhile(1); がつく理由 - 葉っぱ日記

[t-wada]

CSRF 対策じゃないよ、そして SOP でもないよ、という話

[dmnlk]

@repeatedly 間違いらしいです

[masaru_b_cl]

Qiitaに投稿された文書へのカウンター

[kazuhooku]

「こんなバッドノウハウ、ふつうの開発者は覚えておく必要ない」