【发布时间】:2011-03-30 04:41:02
【问题描述】:
我们构建的网站具有公共(非安全)区域和安全(通过 HTTPS 传输)区域,并且我们使用 jQuery 库。
最近我建议我们使用 Google CDN 进行 jQuery 交付。我的一些同事对这种交付 JavaScript 库的方式的安全方面表示担忧。
例如,他们提到有人可能劫持 DNS 服务器,然后注入恶意修改的库,从而为不同的安全攻击打开了大门。 现在,如果黑客可以通过 Google CDN 注入恶意代码,那么如果 jQuery 是从站点本身提供的,他可能也可以这样做,对吧?
google CDN 似乎支持通过 SSL 提供库。
从 CDN 提供 jQuery 真的比从服务器本身提供它更不安全吗?这种威胁有多严重?
【问题讨论】:
-
还有一个隐私问题,因为 Google 能够知道哪些用户访问了您的网站。
-
@Gert - 他们可能知道,您的用户访问的同时从 CDN 提取相同文件的网站越多,他们通过您的网站访问 google 的可能性就越小。
-
@Nick - 只要用户不刷新页面(例如,通过刷新按钮、CTRL-R 或 CTRL-F5)。
-
其实我觉得浏览器是不允许缓存HTTPS请求的(如果我没记错的话)。
-
@Dan 很容易检查,但是是的。