Что Ajax вызывает как «for (;;)»? {json data} 'значит? [Дубликат]

Question

Что Ajax вызывает как «for (;;)»? {json data} 'значит? [Дубликат]

178

Возможный дубликат:
Почему люди ставят код типа "throw 1; < dont be evil > " и для(;;);" перед ответами json?

Я нашел такой синтаксис, который используется в Facebook для вызовов Ajax. Я запутался в части for (;;); в начале ответа. Для чего он используется?

Это вызов и ответ:

GET http://0.131.channel.facebook.com/x/1476579705/51033089/false/p_1524926084=0

Ответ:

for (;;);{"t":"continue"}

Mridul Kashatria 14 июнь 2011, в 06:27

Источник

0

Интересный вопрос. Интересно, как они интерпретируют данные, хотя? Просто избавьтесь от for(;;); и проанализировать результат?
Luca Matteis 17 авг. 2011, в 14:07
0

Я не собираюсь сливаться с дураками, потому что, хотя речь идет об одной и той же теме, ответы на этот вопрос не очень хорошо подойдут.
Kev 21 июль 2012, в 23:26
0

Я очень расстроен тем, что три ответа с наибольшим количеством голосов неверны. Тем не менее, вопросы, на которые это дубликат, имеют правильные ответы. Это просто и явно распространяющаяся дезинформация. Это еще более расстраивает, потому что Саурик очень известен, а у двух других репутация исчисляется тысячами.
gengkev 19 фев. 2016, в 02:19

Показать ещё 1 комментарий

Теги:

ajax

json

facebook

5 ответов

157

Я подозреваю, что основной причиной этого является контроль. Это заставляет вас извлекать данные через Ajax, а не через JSON-P или аналогичный (который использует теги script, и так потерпит неудачу, потому что цикл for бесконечен) и, таким образом, гарантирует, что Same Origin Policy. Это позволяет им контролировать, какие документы могут выдавать вызовы API — в частности, только документы, которые имеют тот же самый источник, что и этот вызов API, или те, которые Facebook специально предоставляет для доступа через CORS (в браузерах, поддерживающих CORS). Поэтому вы должны запросить данные через механизм, в котором браузер будет применять SOP, и вы должны знать об этом предисловии и удалять его перед десериализацией данных.

Итак, да, это о контроле (полезном) доступе к этим данным.

T.J. Crowder 14 июнь 2011, в 07:27

1

Спасибо за ответ TJ Crowder. Мне не ясно, нужно ли бороться с попытками десериализации, как это помогает в безопасности и какой тип атаки он предотвращает?
Mridul Kashatria 14 июнь 2011, в 06:34
9

@mridkash: Единственное, о чем я могу думать, это то, что они не хотят, чтобы люди использовали этот API через JSON-P, который использует теги script для обхода Единой политики происхождения. Кроме того, они, очевидно, хотят получить результат, полученный только тем, кто знает о цикле for , поскольку, конечно, это нарушит любой стандартный JSON-декодер (и действительно, если декодер полагается на eval ). Так что этот API бесполезен, за исключением случаев, когда его извлекают через ajax и кто-то, кто знает, удаляет это предисловие. Возможно, он предназначен только для их клиентского кода, и они периодически меняют маркер ...
T.J. Crowder 14 июнь 2011, в 06:38
0

@mridkash, использующий функцию eval для анализа некоторого JSON, выполнит любой код javascript, содержащийся в данных, без каких-либо проверок, поэтому, если я дам вам скрипт, который, например, загружает подозрительный файл, этот javascript будет загружен на клиентский компьютер, и это явно проблема безопасности.
Yet Another Geek 14 июнь 2011, в 06:39
0

Это довольно интересно, так как я также ищу способ загрузки данных JSON из отдельного кэшированного домена (облачный фронт AWS), и этот метод может помочь предотвратить неправильное использование личных данных.
Mridul Kashatria 14 июнь 2011, в 06:49
4

@mridkash: Да, но помните, что он контролирует только злоупотребление данными через веб-браузер . Любой, кто хочет, может получить данные вручную или использовать не основанный на браузере инструмент, чтобы извлечь текст и использовать его в автоматизированном процессе (даже создать отражатель, который снимает префикс). Так что это не так уж безопасно, просто неудобно для людей. И отражатель в конечном итоге будет отображаться в ваших журналах как заметно активный клиент. :-)
T.J. Crowder 14 июнь 2011, в 06:55
1

Почему бы не использовать /* в качестве префикса?
dave1010 17 авг. 2011, в 11:33
1

@dave: Действительно, хотя всегда есть вероятность, что какая-то строка в данных имеет необходимый */ . Для for(;;); выполняет сдерживающую роль, на некоторое время блокируя ситуацию, а затем заставляя браузер отображать скрипт занят / тайм-аут.
T.J. Crowder 17 авг. 2011, в 12:20
0

Я не совсем понимаю. Вы все равно не можете прочитать содержимое удаленного скрипта в <script> , верно? И если Facebook не использует функцию обратного вызова, как она может быть использована через JSON-P?
Matchu 17 авг. 2011, в 15:57
1

@Matchu: Согласовано, даже в необработанном виде без for(;;); Если бы вы использовали элемент script , интерпретатор интерпретировал бы выражение объекта, но нигде не сохранил бы результат, что было бы бесполезно. Я думаю, что for(;;); в первую очередь для того, чтобы обескуражить людей из-за нежелательного эффекта, но мы должны спросить Facebook, чтобы быть уверенным. (Кстати, этот вопрос где-то был связан? Внезапно все виды деятельности по нему.)
T.J. Crowder 17 авг. 2011, в 16:02
0

Да, это связано с Reddit
kindall 17 авг. 2011, в 17:10
0

@kindall: Спасибо.
T.J. Crowder 17 авг. 2011, в 19:01
7

@Crowder: в старых браузерах можно переопределить функцию Array () таким образом, чтобы вы могли перехватывать передаваемые данные. Это означает, что вы не всегда можете предположить, что литералы JSON, вычисленные в тегах сценария, не протекают.
Clueless 18 авг. 2011, в 00:15
0

@Clueless: Хороший вопрос.
T.J. Crowder 18 авг. 2011, в 01:09
1

Без комментария от @Clueless это только половина ответа, как говорит Марк Эмери на другой вопрос: stackoverflow.com/a/2669720/689161 . Что касается нежелательных эффектов, то никто не может их предотвратить: случайное включение файла JSON с <script> ничего не дает. Единственный неприятный эффект - это for(;;); сам!
gengkev 19 фев. 2016, в 02:43
0

кажется, что FB больше не делает это . Я не знаю почему. Они делали это с {..} (и до сих пор делают это частично). Что касается [] , я понимаю. Относительно {..} - я не
Royi Namir 17 март 2019, в 16:42

Показать ещё 13 комментариев

42

Ну, for(;;); - это бесконечный цикл (вы можете использовать консоль Chrome JavaScript для запуска этого кода на вкладке, если хотите, а затем посмотрите, как использование ЦП в диспетчере задач проходит через крышу, пока браузер не убьет вкладка).

Поэтому я подозреваю, что, возможно, его помещают, чтобы сорвать любого, кто пытается проанализировать ответ, используя eval или любой другой метод, который выполняет возвращенные данные.

Чтобы объяснить далее, довольно часто приходилось разбирать бит JSON-форматированных данных с помощью функции JavaScript eval(), делая что-то вроде:

var parsedJson = eval('(' + jsonString + ')');

... это считается небезопасным, однако, как если бы по какой-то причине ваши данные в формате JSON содержали исполняемый код JavaScript вместо (или в дополнение к) JSON-форматированных данных, тогда этот код будет выполняться с помощью eval(), Это означает, что если вы разговариваете с ненадежным сервером или кто-то компрометирует доверенный сервер, то они могут запускать произвольный код на вашей странице.

Из-за этого использование таких вещей, как eval() для разбора данных в формате JSON, как правило, неодобрительно, а оператор for(;;); в Facebook JSON не позволит людям разбирать данные таким образом. Любой, кто пытается, получит бесконечный цикл. По сути, он, как и Facebook, пытается обеспечить, чтобы люди работали со своим API таким образом, чтобы они не оставляли их уязвимыми для будущих эксплойтов, которые пытаются удержать API Facebook для использования в качестве вектора.

aroth 14 июнь 2011, в 07:15

0

Спасибо за ответ на аромат. Значит, это для безопасности? Тем не менее, мне неясно, какой хакер безопасности должен победить.
Mridul Kashatria 14 июнь 2011, в 06:35
0

@mridkash - я добавил немного к ответу, надеюсь, это немного лучше для вас объясняет.
aroth 14 июнь 2011, в 06:46
0

Это конечно интересный материал. Немного похоже на подготовку к атакам зомби :), шучу. Мне нужно больше узнать об эксплойтах JSON, так как многие веб-приложения полагаются на него и могут быть неизвестные мне уязвимости в безопасности. Спасибо за понимание.
Mridul Kashatria 14 июнь 2011, в 07:00
5

Но JSON.parse('for (;;);{"t":"continue"}') разрывается (SyntaxError), что является безопасным способом анализа Json в Javascript.
Blaise 17 авг. 2011, в 11:43
0

@BlaiseKal Вот почему для анализа этого вы будете использовать что-то вроде JSON.parse( 'for (;;);{"t":"continue"}'.substring(9) ) .
Arda Xi 17 авг. 2011, в 13:02
1

Но разве не так просто eval('for (;;);{"t":"continue"}'.substring(9)) ?
Alex J 17 авг. 2011, в 13:28
0

@aroth Разве первоначальная привлекательность JSON в XML не заключалась в том, что это был нативный JavaScript и его можно было бы просто проанализировать с помощью eval ? Теперь нужно использовать библиотеку с небольшим преимуществом JSON, что для большинства сайтов не имеет значения.
ArtB 17 авг. 2011, в 15:29
0

Этот ответ неправильный, почему у него тонны голосов? Если у вас есть строка в переменной, чтобы вы могли ее оценить, вы можете просто вставить ее. Кроме того, eval - это способ сделать Json.parse в IE (до 9). TJ Crowder имеет правильный ответ.
aero 17 авг. 2011, в 18:48
1

@aero - Пожалуйста, объясни, что именно ты думаешь не так с этим. for(;;); на самом деле бесконечный цикл. Если вы этого не ожидаете и пытаетесь выполнить eval() , то ваш eval() никогда не вернется. Это можно было бы установить как политику для всего сайта, чтобы не позволить внутренним разработчикам небрежно использовать eval() для анализа результатов асинхронных вызовов API. В любом случае оба ответа включают в себя действительные и разные точки. Это не тот случай, когда один был совершенно прав, а все остальные были неправы.
aroth 18 авг. 2011, в 00:20
0

@aroth Нет, этот ответ совершенно неправильный. Как уже отмечали другие, и eval и JSON.parse одинаково хорошо JSON.parse for(;;); и оба легко исправляются с помощью .substring(9) . Таким образом, нет никаких причин, по которым это будет препятствовать использованию eval .
gengkev 19 фев. 2016, в 02:18

Показать ещё 8 комментариев

13

Я немного опоздал и T.J. в основном решил тайну, но я думал, что поделился бы замечательной статьей по этой теме, которая имеет хорошие примеры и дает более глубокое понимание этого механизма.

Эти бесконечные петли являются контрмерой против "Javascript hijacking", типа атаки, которая получила общественное внимание с атакой на Gmail, опубликованной Джеремией Гроссманом.

Идея такая же красивая, как и красивая: многие пользователи, как правило, постоянно регистрируются в Gmail или Facebook. Итак, что вы делаете, так это то, что вы создали сайт и на своем вредоносном сайте Javascript вы переопределяете конструктор объекта или массива:

function Object() {
    //Make an Ajax request to your malicious site exposing the object data
}

то вы включаете тег <script> на этом сайте, например

<script src="http://www.example.com/object.json"></script>

И, наконец, вы можете прочитать все о объектах JSON в ваших журналах вредоносного сервера.

Как и было обещано, ссылка на .

emboss 17 авг. 2011, в 21:30

13

Это выглядит как взломать, чтобы предотвратить атаку CSRF. Существуют определенные для браузера способы подключения к созданию объектов, поэтому вредоносный веб-сайт может использовать это, а затем следующее:

<script src="http://0.131.channel.facebook.com/x/1476579705/51033089/false/p_1524926084=0" />

Если бы не существовал бесконечный цикл перед JSON, объект был бы создан, так как JSON может быть eval() ed как javascript, и крючки обнаружат его и обнюхивают членов объекта.

Теперь, если вы заходите на этот сайт из браузера, заходите в Facebook, он может получить ваши данные так, как если бы вы были, а затем отправить его обратно на свой собственный сервер, например, через AJAX или javascript.

Jason 17 авг. 2011, в 10:13

0

Какие-нибудь примеры или ссылки о подключении к созданию объектов? Ничего не могу найти с помощью быстрого поиска Google.
dave1010 17 авг. 2011, в 11:31
1

@ dave1010 Возможность создания массива - известная проблема безопасности в большинстве браузеров. Однако с объектами такой проблемы не возникает. Вот почему распространенная техника защиты от CSRF при возврате массивов в JSON заключается в переносе массива в другой объект.
Alan Plum 17 авг. 2011, в 11:43
0

@ Алан, да, я знал о переопределении Array как функции, позволяющей получить доступ к созданным массивам. Поскольку нет способа сделать это для объектов, есть ли необходимость в for(;;); префикс?
dave1010 17 авг. 2011, в 11:54
2

@ dave1010 Литералы массива являются допустимыми JSON. Гораздо более очевидно и менее подвержено ошибкам навязывать защиту CSRF всем, чем надеяться, что тот, кто создает ответы JSON, знает, что массивы верхнего уровня - это дыра CSRF.
Clueless 18 авг. 2011, в 00:13
0

@ Бессмысленно, это хорошая мысль. Я думаю, for(;;); не требуется, если вы уверены, что знаете, что делаете, и всегда будете контролировать формат JSON.
dave1010 18 авг. 2011, в 09:40

Показать ещё 3 комментария

Ещё вопросы

Интересный вопрос. Интересно, как они интерпретируют данные, хотя? Просто избавьтесь от for(;;); и проанализировать результат?
Я не собираюсь сливаться с дураками, потому что, хотя речь идет об одной и той же теме, ответы на этот вопрос не очень хорошо подойдут.
Я очень расстроен тем, что три ответа с наибольшим количеством голосов неверны. Тем не менее, вопросы, на которые это дубликат, имеют правильные ответы. Это просто и явно распространяющаяся дезинформация. Это еще более расстраивает, потому что Саурик очень известен, а у двух других репутация исчисляется тысячами.
Спасибо за ответ TJ Crowder. Мне не ясно, нужно ли бороться с попытками десериализации, как это помогает в безопасности и какой тип атаки он предотвращает?
@mridkash: Единственное, о чем я могу думать, это то, что они не хотят, чтобы люди использовали этот API через JSON-P, который использует теги script для обхода Единой политики происхождения. Кроме того, они, очевидно, хотят получить результат, полученный только тем, кто знает о цикле for , поскольку, конечно, это нарушит любой стандартный JSON-декодер (и действительно, если декодер полагается на eval ). Так что этот API бесполезен, за исключением случаев, когда его извлекают через ajax и кто-то, кто знает, удаляет это предисловие. Возможно, он предназначен только для их клиентского кода, и они периодически меняют маркер ...
@mridkash, использующий функцию eval для анализа некоторого JSON, выполнит любой код javascript, содержащийся в данных, без каких-либо проверок, поэтому, если я дам вам скрипт, который, например, загружает подозрительный файл, этот javascript будет загружен на клиентский компьютер, и это явно проблема безопасности.
Это довольно интересно, так как я также ищу способ загрузки данных JSON из отдельного кэшированного домена (облачный фронт AWS), и этот метод может помочь предотвратить неправильное использование личных данных.
@mridkash: Да, но помните, что он контролирует только злоупотребление данными через веб-браузер . Любой, кто хочет, может получить данные вручную или использовать не основанный на браузере инструмент, чтобы извлечь текст и использовать его в автоматизированном процессе (даже создать отражатель, который снимает префикс). Так что это не так уж безопасно, просто неудобно для людей. И отражатель в конечном итоге будет отображаться в ваших журналах как заметно активный клиент. :-)
Почему бы не использовать /* в качестве префикса?
@dave: Действительно, хотя всегда есть вероятность, что какая-то строка в данных имеет необходимый */ . Для for(;;); выполняет сдерживающую роль, на некоторое время блокируя ситуацию, а затем заставляя браузер отображать скрипт занят / тайм-аут.
Я не совсем понимаю. Вы все равно не можете прочитать содержимое удаленного скрипта в <script> , верно? И если Facebook не использует функцию обратного вызова, как она может быть использована через JSON-P?
@Matchu: Согласовано, даже в необработанном виде без for(;;); Если бы вы использовали элемент script , интерпретатор интерпретировал бы выражение объекта, но нигде не сохранил бы результат, что было бы бесполезно. Я думаю, что for(;;); в первую очередь для того, чтобы обескуражить людей из-за нежелательного эффекта, но мы должны спросить Facebook, чтобы быть уверенным. (Кстати, этот вопрос где-то был связан? Внезапно все виды деятельности по нему.)
@Crowder: в старых браузерах можно переопределить функцию Array () таким образом, чтобы вы могли перехватывать передаваемые данные. Это означает, что вы не всегда можете предположить, что литералы JSON, вычисленные в тегах сценария, не протекают.
Без комментария от @Clueless это только половина ответа, как говорит Марк Эмери на другой вопрос: stackoverflow.com/a/2669720/689161 . Что касается нежелательных эффектов, то никто не может их предотвратить: случайное включение файла JSON с <script> ничего не дает. Единственный неприятный эффект - это for(;;); сам!
кажется, что FB больше не делает это . Я не знаю почему. Они делали это с {..} (и до сих пор делают это частично). Что касается [] , я понимаю. Относительно {..} - я не
Спасибо за ответ на аромат. Значит, это для безопасности? Тем не менее, мне неясно, какой хакер безопасности должен победить.
@mridkash - я добавил немного к ответу, надеюсь, это немного лучше для вас объясняет.
Это конечно интересный материал. Немного похоже на подготовку к атакам зомби :), шучу. Мне нужно больше узнать об эксплойтах JSON, так как многие веб-приложения полагаются на него и могут быть неизвестные мне уязвимости в безопасности. Спасибо за понимание.
Но JSON.parse('for (;;);{"t":"continue"}') разрывается (SyntaxError), что является безопасным способом анализа Json в Javascript.
@BlaiseKal Вот почему для анализа этого вы будете использовать что-то вроде JSON.parse( 'for (;;);{"t":"continue"}'.substring(9) ) .
Но разве не так просто eval('for (;;);{"t":"continue"}'.substring(9)) ?
@aroth Разве первоначальная привлекательность JSON в XML не заключалась в том, что это был нативный JavaScript и его можно было бы просто проанализировать с помощью eval ? Теперь нужно использовать библиотеку с небольшим преимуществом JSON, что для большинства сайтов не имеет значения.
Этот ответ неправильный, почему у него тонны голосов? Если у вас есть строка в переменной, чтобы вы могли ее оценить, вы можете просто вставить ее. Кроме того, eval - это способ сделать Json.parse в IE (до 9). TJ Crowder имеет правильный ответ.
@aero - Пожалуйста, объясни, что именно ты думаешь не так с этим. for(;;); на самом деле бесконечный цикл. Если вы этого не ожидаете и пытаетесь выполнить eval() , то ваш eval() никогда не вернется. Это можно было бы установить как политику для всего сайта, чтобы не позволить внутренним разработчикам небрежно использовать eval() для анализа результатов асинхронных вызовов API. В любом случае оба ответа включают в себя действительные и разные точки. Это не тот случай, когда один был совершенно прав, а все остальные были неправы.
@aroth Нет, этот ответ совершенно неправильный. Как уже отмечали другие, и eval и JSON.parse одинаково хорошо JSON.parse for(;;); и оба легко исправляются с помощью .substring(9) . Таким образом, нет никаких причин, по которым это будет препятствовать использованию eval .
Какие-нибудь примеры или ссылки о подключении к созданию объектов? Ничего не могу найти с помощью быстрого поиска Google.
@ dave1010 Возможность создания массива - известная проблема безопасности в большинстве браузеров. Однако с объектами такой проблемы не возникает. Вот почему распространенная техника защиты от CSRF при возврате массивов в JSON заключается в переносе массива в другой объект.
@ Алан, да, я знал о переопределении Array как функции, позволяющей получить доступ к созданным массивам. Поскольку нет способа сделать это для объектов, есть ли необходимость в for(;;); префикс?
@ dave1010 Литералы массива являются допустимыми JSON. Гораздо более очевидно и менее подвержено ошибкам навязывать защиту CSRF всем, чем надеяться, что тот, кто создает ответы JSON, знает, что массивы верхнего уровня - это дыра CSRF.
@ Бессмысленно, это хорошая мысль. Я думаю, for(;;); не требуется, если вы уверены, что знаете, что делаете, и всегда будете контролировать формат JSON.

Jay Freeman -saurik- · Accepted Answer · 2011-08-17T23-33-00.000Z

У Facebook есть тонна разработчиков, работающих внутри на многих проектах, и для кого-то очень часто делается небольшая ошибка; будь то что-то столь же простое и серьезное, как отказ от данных, вставленных в шаблон HTML или SQL, или что-то такое сложное и тонкое, как использование eval (иногда неэффективное и, возможно, небезопасное) или JSON.parse (совместимое, но не универсальное расширение ) вместо "известного хорошего" JSON-декодера, важно выяснить способы легкого применения лучших практик для этой группы разработчиков.

Чтобы противостоять этой проблеме, Facebook в последнее время собирается "изо всех сил" с внутренними проектами, предназначенными для изящного применения этих лучших практик, и, честно говоря, единственным объяснением, которое действительно имеет смысл для этого конкретного случая, является то, что: кто-то внутренне решил что все JSON-анализы должны проходить через одну реализацию в своей основной библиотеке, и лучший способ обеспечить это, для каждого отдельного ответа API, чтобы получить for(;;); автоматически закрепленный на передней панели.

При этом разработчик не может быть "ленивым": они будут замечать немедленно, если они используют eval(), задаются вопросом, что происходит, а затем осознают свою ошибку и используют одобренный JSON API.

Другие предоставленные ответы, похоже, все относятся к одной из двух категорий:

непонимание JSONP или
непонимание "угона JSON".

Те, кто в первой категории, полагаются на идею, что злоумышленник может каким-то образом сделать запрос "с использованием JSONP" API, который его не поддерживает. JSONP - это протокол, который должен поддерживаться как на сервере, так и на клиенте: он требует, чтобы сервер возвращал нечто похожее на myFunction({"t":"continue"}), чтобы результат передавался локальной функции. Вы не можете просто "использовать JSONP" случайно.

Те, что во второй категории ссылаются на очень реальную уязвимость, которая была описана, позволяя подделку запросов на межсайтовый запрос через теги API, которые не используют, используют JSONP (например, этот), что позволяет форма "захвата JSON". Это делается путем изменения конструктора Array/Object, который позволяет получить доступ к информации, возвращаемой с сервера без функции обертки.

Однако это просто невозможно в этом случае: причина, по которой он вообще работает, заключается в том, что пустой массив (один из возможных результатов многих API-интерфейсов JSON, например, знаменитый пример Gmail) является допустимым выражением выражения, которое не является true для голого объекта.

Фактически, синтаксис объектов, определенных JSON (который включает в себя кавычки вокруг имен полей, как показано в этом примере), конфликтует с синтаксисом для блоков и поэтому не может использоваться на верхнем уровне script.

js> {"t":"continue"}
typein:2: SyntaxError: invalid label:
typein:2: {"t":"continue"}
typein:2: ....^

Чтобы этот пример можно было использовать с помощью переназначения конструктора Object(), для этого API должен был вместо этого возвращать объект внутри набора круглых скобок, что делает его действительным JavaScript (но тогда недействительным JSON).

js> ({"t":"continue"})
[object Object]

Теперь он может быть в том, что этот трюк префикса for(;;); отображается только "случайно" в этом примере и фактически возвращается другими внутренними API-интерфейсами Facebook, которые возвращают массивы; но в этом случае это должно быть действительно отмечено, так как тогда это будет "реальной" причиной того, почему for(;;); появляется в этом конкретном фрагменте.

Это должно быть помечено как правильный ответ. Для(;;);" Префикс, скорее всего, добавлен как побочный продукт исправления уязвимости переназначения конструктора Array.
Нет смысла, что for(;;); будет использоваться для запрета eval . У Facebook есть гораздо лучшие способы контролировать свой собственный код. И for(;;); разбивает все парсеры JSON, включая eval , одинаково. Разработчики должны удалить его вручную в любом случае, но это вряд ли мешает eval . Ответ - попытки угона JSON. Да, только литералы объектов недопустимы, но гораздо проще и менее подвержены ошибкам просто вставить (и позже удалить) for(;;) перед всем JSON, чем использовать условные операторы.