当您将所有这些不同的 javascript 文件包含在用于各种服务(例如网站分析、点击跟踪等)的页面上时,这是否会造成巨大的安全风险,因为使用 javascript 他们可以劫持表单上输入的个人信用卡?
目前这怎么被认为是安全的?
意思是,你的服务器是安全的,你的支付提供商是安全的,你有 SSL,但如果有人入侵人们使用的任何这些服务(我看到许多网站使用超过 10 种以上的服务来跟踪点击、广告相关等),那么它们可以包含您的付款表格。
是的,这是一个安全风险,称为第三方脚本包含。
通过在您的页面上包含由第 3 方托管的脚本,即表示您相信外部域不是恶意的,也不是受到损害的。通过使用<script src="//example.com">tag,第三方域可以完全控制您网站上的 DOM。他们可以注入任何他们想要的 JavaScript。
你的担心是对的。PageFair 最近遭到入侵 https://threatpost.com/pagefair-hack-serves-up-fake-flash-update-to-500-sites/115237/关闭它提供分析服务的每个网站。您应该验证您为脚本引用的所有第三方域,并确保您信任它们。例如,您可能对 Google 和 Facebook 等大公司感到满意,但是对于其他公司,您应该考虑放弃它们或检查脚本代码,然后在您的域上本地托管。
您可以通过以下方式缓解这种情况子资源完整性 https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity:
<script src="https://example.com/example-framework.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
crossorigin="anonymous"></script>
这将要求浏览器检查加载的脚本是否具有指定的加密哈希。对脚本的任何更改,即使是单个字符,都会产生完全不同的哈希值,从而使任何更改都能被检测到,并且脚本将被拒绝加载和运行。截至 2018 年 8 月,除 IE 和 iOS Safari 外,所有主流浏览器均支持 http://caniuse.com/#feat=subresource-integrity.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
