Google förser sina JSON-svar med while(1); för att förhindra JSON-kapning, en säkerhetsrisk där JSON-data kan exekveras som JavaScript i en angripares miljö. JSON-kapning utnyttjar att webbläsare kan begära resurser från andra domäner via <script>-taggar, vilket kan leda till att JSON-innehåll exekveras som skadlig JavaScript. Det finns flera motåtgärder, inklusive att lägga till while(1); (Googles metod), ogiltiga tokens, eller att alltid returnera JSON med ett objekt på toppnivå (OWASP:s rekommendation). Googles metod kräver en klientbibliotek för att hantera prefixet och anses säkrare mot webbläsarbuggar, medan OWASP:s metod är mindre påträngande men har osäkerheter kring framtida sårbarheter.