个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
25
4
看完this关于为什么 google/facebook 等添加无法解析的内容的问题,例如:
while(1); for(;;);&&&START&&& ... &&&END&&&对于他们的 JSON 响应,我了解其动机。但我仍然不清楚为什么要使用这种相对复杂的机制,什么时候可以用类似的东西来实现类似的效果
) 以使整行无效并出现语法错误现在,这种对无限循环和(奇怪的)语法错误的附加保护似乎是为了绕过旧的和宽松的 javascript 解析器,但我似乎找不到任何表明这种情况的引用资料。还有一个SO question这甚至继续讨论 while(1); 解决方法(说明 1 可以被破坏)并拒绝 {}&& 形式的另一种解决方法,但没有解释原因或引用任何来源。
其他引用资料:
/*-secure-\n...*/最佳答案
我认为有几个细节与无法解析的垃圾的形式有关:
{}&& 前缀可以追溯到 JSON 解析器(显然,例如旧版本中的 Dojo)不验证 JSON字符串作为有效的 JSON 语法。我现在知道的所有 JSON 解析器库都进行验证,但是 this blog post从 2008 年开始建议,上述版本的 dojo 将允许 JSON.parse json 正常,而 eval 只会失败,这将为您提供针对 JSON 的方便保护 劫持。
while(1) 可以使用 Number 原型(prototype),通过将 0 分配为 1 的值。
for(;;) 和 while(1) 都具有使被劫持站点崩溃的效果,这确实在进一步增加保护的范围内任何脚本的执行都会有效地停止而不会出现错误。这一点很重要,因为定义的错误并不标志着 javascript 中脚本执行的结束,而 for(;;) 确保在它之后没有执行任何脚本。这是为了防止(afaik 假设的)攻击者通过利用 window.onerror 中的弱点、覆盖 eval 或代理错误对象实例化(如覆盖Error.prototype 的 constructor)。
更新
还有this question on security.stackexchange建议不要使用 for(;;) 或 while(1),因为这可能暗示您的网站正在 DoS 攻击客户端 CPU 或触发恶意软件扫描程序。我没有看到现代浏览器存在严重的 DoS 问题,因为它们运行沙盒并且基于每个选项卡。但这肯定是旧浏览器的问题。恶意软件扫描程序是一个真正的问题,可能会将您的网站报告为正在攻击。
&&&START&&&(以及相应的&&&END&&&标签)使得在客户端解析接收json比仅仅使用更容易)或可能无意中关闭的注释,并且可能会提高程序员的可读性和可见性。包含在注释中只是其中的一种变体,因为它提供了 /* 开始和 */ 结束标记。在我看来,开头和结尾的清晰标记有助于注意杂物的含义。使用评论并不能真正提供这一点。
关于javascript - JSON 无法解析的垃圾 : Why so serious?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14723226/
25
4
0
我一直在使用 AJAX 从我正在创建的网络服务中解析 JSON 数组时遇到问题。我的前端是一个简单的 ajax 和 jquery 组合,用于显示从我正在创建的网络服务返回的结果。 尽管知道我的数据库查
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我在尝试运行 Android 应用程序时遇到问题并收到以下错误 java.lang.NoClassDefFoundError: com.parse.Parse 当我尝试运行该应用时。 最佳答案 在这
有什么办法可以防止etree在解析HTML内容时解析HTML实体吗? html = etree.HTML('&') html.find('.//body').text 这给了我 '&' 但我想
我有一个有点疯狂的例子,但对于那些 JavaScript 函数作用域专家来说,它看起来是一个很好的练习: (function (global) { // our module number one
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 8 年前。 Improve th
我需要编写一个脚本来获取链接并解析链接页面的 HTML 以提取标题和其他一些数据,例如可能是简短的描述,就像您链接到 Facebook 上的内容一样。 当用户向站点添加链接时将调用它,因此在客户端启动
在 VS Code 中本地开发时,包解析为 C:/Users//AppData/Local/Microsoft/TypeScript/3.5/node_modules/@types//index而不是
我在将 json 从 php 解析为 javascript 时遇到问题 这是我的示例代码: //function MethodAjax = function (wsFile, param) {
我在将 json 从 php 解析为 javascript 时遇到问题 这是我的示例代码: //function MethodAjax = function (wsFile, param) {
我被赋予了将一种语言“翻译”成另一种语言的工作。对于使用正则表达式的简单逐行方法来说,源代码过于灵活(复杂)。我在哪里可以了解更多关于词法分析和解析器的信息? 最佳答案 如果你想对这个主题产生“情绪化
您好,我在解析此文本时遇到问题 { { { {[system1];1;1;0.612509325}; {[system2];1;
我正在为 adobe after effects 在 extendscript 中编写一些代码,最终变成了 javascript。 我有一个数组,我想只搜索单词“assemble”并返回整个 jc3_
我有这段代码: $(document).ready(function() { // }); 问题:FB_RequireFeatures block 外部的代码先于其内部的代码执行。因此 who
背景: netcore项目中有些服务是在通过中间件来通信的,比如orleans组件。它里面服务和客户端会指定网关和端口,我们只需要开放客户端给外界,服务端关闭端口。相当于去掉host,这样省掉了些
1.首先贴上我试验成功的代码 复制代码 代码如下: protected void onMeasure(int widthMeasureSpec, int heightMeasureSpec)
什么是 XML? XML 指可扩展标记语言(eXtensible Markup Language),标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。 你可以通过本站学习 X
【PHP代码】 复制代码 代码如下: $stmt = mssql_init('P__Global_Test', $conn) or die("initialize sto
在SQL查询分析器执行以下代码就可以了。 复制代码代码如下: declare @t varchar(255),@c varchar(255) declare table_cursor curs
前言 最近练习了一些前端算法题,现在做个总结,以下题目都是个人写法,并不是标准答案,如有错误欢迎指出,有对某道题有新的想法的友友也可以在评论区发表想法,互相学习🤭 题目 题目一: 二维数组中的
我是一名优秀的程序员,十分优秀!