Why does Google prepend while(1); to their JSON responses?

技术背景

JSON 劫持（JSON hijacking）是一种重大的 JSON 安全问题。在理论上，HTTP 响应内容受同源策略保护，即一个域名的页面无法获取其他域名页面的信息（除非明确允许）。但攻击者可代表用户请求其他域名的页面，如使用 <script src=...> 或 <img> 标签，虽无法获取结果信息（如头部、内容），但当使用脚本标签请求 JSON 内容时，JSON 会在攻击者控制的环境中作为 JavaScript 执行。若攻击者能替换数组或对象构造函数等方法，JSON 中的任何内容都会经过攻击者的代码，导致信息泄露。

实现步骤

JSON 劫持攻击步骤

1. 诱导用户访问恶意页面：攻击者使已认证的用户访问恶意页面。
2. 尝试访问敏感数据：恶意页面通过在 HTML 页面中嵌入脚本标签访问用户已登录应用的敏感数据，因为同源策略不适用于脚本标签。例如：

<script src="http://<jsonsite>/json_server.php"></script>

浏览器会向 json_server.php 发送 GET 请求，并附带用户的认证 cookie。
3. 获取敏感数据：恶意站点执行脚本后，可通过对象原型设置器获取数据。例如：

Object.prototype.__defineSetter__('ccnum',function(obj){
    secrets =secrets.concat(" ", obj);
});

防范 JSON 劫持的方法

1. 确保 JSON 不被执行：在 JSON 数据前添加 while(1); 语句，如 Google 的做法，可确保 JSON 数据不会作为 JavaScript 执行。合法页面可获取完整内容，去除 while(1); 后解析剩余部分为 JSON。类似地，Facebook 使用 for(;;); 也有相同效果。
2. 确保 JSON 不是有效的 JavaScript：在 JSON 前添加无效标记，如 &&&START&&&，可防止其被执行。
3. 始终返回外部为对象的 JSON：这是 OWASP 推荐的防范 JSON 劫持的方法，也是侵入性较小的方法。确保响应的顶层始终是对象，使 JSON 不是有效的 JavaScript，但仍是有效的 JSON。

核心代码

示例 JSON 数据

[{ "id": "1001", "ccnum": "4111111111111111", "balance": "2345.15" }, 
{ "id": "1002", "ccnum": "5555555555554444", "balance": "10345.00" }, 
{ "id": "1003", "ccnum": "5105105105105100", "balance": "6250.50" }]

恶意页面的对象原型设置器代码

Object.prototype.__defineSetter__('ccnum',function(obj){
    secrets =secrets.concat(" ", obj);
});

最佳实践

• 选择合适的防范方法：OWASP 方法侵入性较小，无需更改客户端库，传输有效 JSON，但不确定是否能抵御过去或未来的浏览器漏洞。Google 的方法需要客户端库支持自动反序列化，在浏览器漏洞方面相对更安全。
• 服务器端检查：两种方法都需要进行服务器端更改，以避免开发人员意外发送易受攻击的 JSON。

常见问题

现代浏览器是否还存在这些安全问题？

截至 2019 年，许多导致这些防范措施的旧漏洞在现代浏览器中已不再是问题。但为了数据安全，仍需关注新的安全威胁。

空对象 {} 是否存在安全风险？

空对象 {} 是有效的 JavaScript，知道对象为空本身可能也是有价值的信息，在防范时需要考虑这一点。