保护 Web 应用程序中的第三方库

Question

我有一个带有登录页面的网络应用程序。

在源代码中（特别是<head>），我可以看到使用的第三方javascript 库和该库的路径，有时是库的版本。

我什至可以在没有身份验证的情况下访问这些库的代码。

这是安全风险吗？

例如：

<script type="text/javascript" src="/****/js/ui/js/jquery-ui-1.2.2.custom.min.js"></script>
<script type="text/javascript" src="/*****/dwr/interface/AjaxService.js"></script>

如果是，如何缓解？

Answer 1

是的，您需要缓解两种威胁：

• 首先，图书馆的真实性。这可以通过 SRI 实现，这是一种检查库签名的方法 - 请参阅 Scott Helme 的 great post。
• 其次，您要检查库本身是否存在已知漏洞。我不确定当您以这种方式添加库时如何完成 - 但是您可以使用诸如Snyk 之类的工具来测试并查看库是否存在已知的安全问题。例如，hereSnyk 的结果到您正在使用的 jquery 版本。请参阅 here 以了解有关此问题的更多信息。

希望对你有所帮助:)

Answer 2

是的，这种方式有一些问题。

攻击者可以利用lib服务器并给你修改后的lib代码。

首先，我建议您下载一个库（或者更好的是通过package.json 将其添加到捆绑包中）并包含来自您服务器的所有库，而不是第 3 方。

每次下载时都可以检查库的控制和以确保它没有被修改。

这将使您避免一些问题，但您的地址也可以被攻击者更改。

（当用户解析您的地址时，他可以将用户重定向到他的主机，而不是您的主机）。

所以最好将html + js放在1个文件中，没有交叉链接更安全。

这可以使用 webpack 捆绑来实现。

所以攻击者只能破坏整个应用程序，而不是 1 个库，这可能更难。

编辑

（但是，只有 1 个文件的选项仅适用于小型项目。对于较大的项目，您应该使用链接来提高性能，但风险更大。）

您可以使用snyk（一个开源漏洞数据库）检查您拥有的代码（在服务器上或在 package.json 中）。

编辑

另一种保护方法是使用CSP 标头。它们允许仅使用特定的源列表下载某种格式的内容（样式或脚本或图像等）。它可以防止某些XSS。强烈建议始终使用所有类型的 CSP 标头。但是风险始终存在：受信任的来源可能会受到损害，甚至 DNS 也会受到损害。