Зачем Google добавляет while(1); к своим JSON-ответам?

Это позволяет избежать CSRF/XSRF-атак (подделки межсайтовых запросов ^[1]).

Рассмотрим следующий пример: допустим у Google есть URL вида http://gmail.com/json?action=inbox, который возвращает 50 первых сообщений вашего почтового ящика в формате JSON. Злоумышленник, чей сайт находятся на другом домене, не может выполнить AJAX запрос, обратившись по данному URL, чтобы получить данные, ввиду same origin policy (правило ограничения домена ^[2]). Но ничто не мешает злоумышленнику включить вышеуказанный URL на свою страницу с помощью тега <script>.

Данному URL будут переданы куки, сохранённые в вашем браузере для домена gmail.com. Путём переопределения глобального конструктора array или методов доступа ^[3] злоумышленник может вызывать произвольный метод всякий раз, когда устанавливается атрибут объекта (массива или хэша), тем самым получая доступ к содержимому JSON.

Конструкция while(1); или &&&BLAH&&& позволяет этого избежать. Gmail.com при отправке AJAX-запросов имеет полный доступ к содержимому ответа и благополучно эту дополнительную конструкцию вырезает. Тег же <script> выполняет JavaScript без какой-либо предварительной обработки, в результате чего, происходит либо бесконечный цикл (для while(1);) или синтаксическая ошибка (для &&&BLAH&&&).

[ Источник ^[4] ]

Автор: saynt2day

Источник ^[5]