рдпрд╣ CSRF / XSRF рд╣рдорд▓реЛрдВ (
рдХреНрд░реЙрд╕-рд╕рд╛рдЗрдЯ рдЕрдиреБрд░реЛрдз рдЬрд╛рд▓рд╕рд╛рдЬреА ) рд╕реЗ рдмрдЪрд╛ рдЬрд╛рддрд╛ рд╣реИред
рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЙрджрд╛рд╣рд░рдг рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░реЗрдВ: рдорд╛рди рд▓реЗрдВ рдХрд┐ Google рдХреЗ рдкрд╛рд╕ рдлрд╝реЙрд░реНрдо рдХрд╛ URL рд╣реИ
gmail.com/json?action=inbox gmail.com/json?action=inbox , рдЬреЛ JSON рдкреНрд░рд╛рд░реВрдк рдореЗрдВ рдЖрдкрдХреЗ рдЗрдирдмреЙрдХреНрд╕ рдХреЗ рдкрд╣рд▓реЗ 50 рд╕рдВрджреЗрд╢реЛрдВ рдХреЛ рд▓реМрдЯрд╛рддрд╛ рд╣реИред рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдЬрд┐рд╕рдХреА рд╕рд╛рдЗрдЯ рдПрдХ рдЕрд▓рдЧ рдбреЛрдореЗрди рдкрд░ рд╣реИ, рдПрдХ рд╣реА рдореВрд▓ рдиреАрддрд┐ (
рдбреЛрдореЗрди рдкреНрд░рддрд┐рдмрдВрдз рдирд┐рдпрдо ) рдХреЗ рдорджреНрджреЗрдирдЬрд░ рдбреЗрдЯрд╛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЗрд╕ URL рд╕реЗ рд╕рдВрдкрд░реНрдХ рдХрд░рдХреЗ AJAX рдЕрдиреБрд░реЛрдз рдирд╣реАрдВ рдХрд░ рд╕рдХрддрд╛ рд╣реИред рд▓реЗрдХрд┐рди рдХреБрдЫ рднреА рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдХреЛ рдЯреИрдЧ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЕрдкрдиреЗ рдкреГрд╖реНрда рдореЗрдВ рдЙрдкрд░реЛрдХреНрдд URL рдХреЛ рд╢рд╛рдорд┐рд▓ рдХрд░рдиреЗ рд╕реЗ рд░реЛрдХрддрд╛ рд╣реИ
.
URL , gmail.com. array , ( ), JSON.
while(1); &&&BLAH&&& . Gmail.com AJAX- . JavaScript - , , ( while(1); ) ( &&&BLAH&&& ).
[ ]
UPD:
d00kie :
тАФ JSON Hijacking, 2007/2008 . , ┬л┬╗ , ┬л ┬╗, . , , , Array() ┬л┬╗ ( 2007 ):
Object.prototype.__defineSetter__('Id', function(obj){alert(obj);});
>3.0.11тАж
.