4
可能重複:
Why have 「while(1);」 in XmlHttpRequest response?
What does while(1) in Gmail do`while(1){}`如何幫助防止CSRF?
我最近偶然發現了與while (1==1) {}
前面加上AJAX的返回數據的做法,提供針對CSRF攻擊一些更安全,但我沒有看到代碼如何有用。有人可以解釋嗎?
可能重複:
Why have 「while(1);」 in XmlHttpRequest response?
What does while(1) in Gmail do`while(1){}`如何幫助防止CSRF?
我最近偶然發現了與while (1==1) {}
前面加上AJAX的返回數據的做法,提供針對CSRF攻擊一些更安全,但我沒有看到代碼如何有用。有人可以解釋嗎?
嘗試執行CSRF攻擊的遠程站點需要使用JSONP調用來加載數據。 (在頁面中注入腳本塊) 如果您嘗試創建JSONP調用,並將注入到腳本中的腳本注入到您的網頁中,那麼JavaScript虛擬機會超時無法加載數據(因爲while循環)。所以攻擊者不能看到數據。
這確保只有匹配相同源策略的客戶端(通過正常的ajax調用加載數據)才能使用這些數據,從而防止任何攻擊者從遠程站點訪問數據。
http://stackoverflow.com/questions/4828413/what-does-while1-in-gmail-do,http://stackoverflow.com/questions/871505/why-have-while1-in-xmlhttprequest-response – RightSaidFred
@RightSaidFred:您可以投票來關閉重複的問題,而不是僅僅關聯它們。 – derobert
該死的,我真的在發帖之前就已經搜索過了。確實是重複的,但由於某些原因,我無法刪除它 – Fluffy