|
|
4 回复 | 直到 10 年前
|
1
7
降低风险的一种方法是对从Google获得的文件运行校验和,并将其与您已经拥有的已知良好校验和进行比较。 在回答有关谷歌是否以任何方式修改这些文件的问题时,谷歌员工 Ben Lisbakken suggested comparing MD5 checksums 如果您担心DNS劫持,那么从“原始”站点获得的文件当然也会受到同样的关注。您也可能不希望在每次请求时对jQuery文件运行校验和而导致速度损失——除非您非常偏执。当然,这样做会消除使用CDN的所有优势。
当然,你可以通过编程来实现。你决定什么间隔才有意义。每分钟?每五分钟?你现在有一个自动杀死开关的灵敏度,你可以调整到您的喜好的材料。“monitor”例程当然不必在您要保护的应用程序中同步运行;也许您只是为了这个目的而在同一台服务器上运行一个小型实用程序。
|
|
|
2
2
对。如果是外部资源 总是不太安全 . 如果你不拥有源代码,你怎么可能确定你知道你的客户真正得到了什么?如果你不熟悉 云出血 ,在继续之前,您可能需要先阅读。 如果出于性能原因确实需要从外部CDN加载jQuery,请确保使用 海底资源完整性 can be located 在MDN上。 单点故障 (如果您对stevesouders的工作非常熟悉的话,这应该是一个值得关注的问题),从安全性和性能的角度来看,几乎可以肯定的是,您最好在内部移动所有脚本,并使用 Fetch Injection |
|
|
3
1
正如你的同事指出的,劫持DNS服务器将是一个问题。如果你的图书馆和你的网站是从同一个主机上提供的,那就不可能了。但是,如果使用HTTPS,攻击者不太可能在受欺骗的站点上拥有有效的证书。我不知道浏览器对此会有什么反应,但我怀疑他们会将网站标记为不安全(因为它的某些部分不可信)并相应地采取行动。 所以简而言之,如果CDN也是使用HTTPS访问的,那么就不会有太大的风险。 编辑: 格特G |
|
4
-3
如果网上存在信任,那么谷歌是最值得信任的。。。 毫无疑问,googlecdn是安全的,但问题总是来自用户/服务器的 Internet连接 大约+4kb,请参见Firebug中的 不管怎样,现在缩小/压缩/缓存jQuery不是问题,我建议你自己做一个。。。 |
推荐文章
|
|
Brad Parks · 如何确保我的CDN按来源缓存CORS请求? 6 年前 |
|
|
Kevin · CDN或下载到目录? 7 年前 |
|
|
Greg · CDN是如何工作的? 7 年前 |
|
|
Aleks · 如何在React项目中使用CDN导入 7 年前 |
|
Ilja · firebase托管是否受益于CloudFlare? 7 年前 |