Javascript 在诸如jQuery之类的CDN托管脚本上防止XSS
[已编辑:] 如果通过Microsoft的CDN网络访问我的网站(为jQuery提供服务)的客户的DNS受到模仿Microsoft CDN的攻击者的欺骗。在这种情况下,理论上攻击者应该能够运行任意javascript代码Javascript 在诸如jQuery之类的CDN托管脚本上防止XSS,javascript,cdn,xss,spoofing,Javascript,Cdn,Xss,Spoofing,[已编辑:] 如果通过Microsoft的CDN网络访问我的网站(为jQuery提供服务)的客户的DNS受到模仿Microsoft CDN的攻击者的欺骗。在这种情况下,理论上攻击者应该能够运行任意javascript代码 有没有办法防止这种情况发生?或者我应该停止对CDN服务器进行热链接吗?标准的XSS预防机制适用,但在这种情况下,由于它是CDN,您可能无法对服务器进行太多控制,因此您最好只通过SSL使用CDN 也就是说,如果受害者的DNS已经被破坏,他们可能会有许多其他问题,特别是银行等高价值
有没有办法防止这种情况发生?或者我应该停止对CDN服务器进行热链接吗?标准的XSS预防机制适用,但在这种情况下,由于它是CDN,您可能无法对服务器进行太多控制,因此您最好只通过SSL使用CDN
也就是说,如果受害者的DNS已经被破坏,他们可能会有许多其他问题,特别是银行等高价值网站,或更多人可能使用的Facebook等大型目标网站。我不是专家,但谷歌不是通过HTTPS(SSL)提供这些文件以防止此类攻击吗?@Tomasz,是的,然而,如果我使用微软的CDN,我的理论将是有效的。Microsoft通过HTTP为其提供服务I您想避免使用CDN(通过HTTPS提供)进行欺骗的结果似乎是唯一合理的解决方案(只要CA不受损害,至少发生过一次)