Tôi đang viết một ứng dụng web thực hiện mã hóa dữ liệu phía máy khách để đảm bảo rằng tôi không bao giờ thấy những gì khách hàng đang gửi đến máy chủ của tôi. Điều tôi thực sự lo lắng là nếu một bên thứ ba truy cập vào mã JavaScript của tôi và sau đó thêm một cửa sau hoặc một số mã độc hại khác vào tệp JavaScript của tôi.Đảm bảo JavaScript đã không bị làm giả với
Vì JavaScript thường được lưu trữ trên CDN của bên thứ ba, làm cách nào để đảm bảo rằng tệp JavaScript không bị thay đổi hoặc giả mạo trước khi trình duyệt tải xuống? Tôi muốn có một thông báo bảo mật lớn trên trang của tôi hơn là tải một số giả mạo JavaScript trong trình duyệt của khách hàng của tôi.
Trong chương trình bình thường, tôi sẽ ký tên tệp để đảm bảo rằng nó không bị giả mạo nhưng tôi không nghĩ rằng trình duyệt hỗ trợ kiểm tra chữ ký đã cho trước khi tải xuống và/hoặc tải tệp JavaScript. Phải có một số giải pháp cho điều này nếu không lưu trữ bất kỳ tập tin trên một CDN sẽ là một nguy cơ bảo mật rất lớn. SSL chỉ bảo vệ tệp trong khi vận chuyển, không phải khi nó đang nằm trên máy chủ CDN.
Giống như nếu CDN của bạn bị tấn công? – Mathletics
@Mathletics Yep. Hoặc một nhân viên rogue tại nhà cung cấp CDN quyết định có một chút "vui vẻ". – Cromulent
Trong cả hai trường hợp, bạn cần tìm một CDN mới. – Mathletics