Chúng tôi xây dựng các trang web có khu vực công cộng (không bảo mật) và khu vực được bảo mật (được phân phối qua HTTPS) và chúng tôi sử dụng thư viện jQuery.CDN an toàn để cung cấp jQuery như thế nào?
Gần đây tôi đã đề xuất chúng tôi sử dụng Google CDN để phân phối jQuery. Một số đồng nghiệp của tôi đã bày tỏ lo ngại về khía cạnh bảo mật của cách thức cung cấp các thư viện JavaScript này.
Ví dụ: họ đề cập đến trường hợp một người nào đó có thể chiếm đoạt máy chủ DNS và sau đó tiêm thư viện được sửa đổi độc hại, mở cửa cho các cuộc tấn công bảo mật khác nhau. Bây giờ, nếu hacker có thể tiêm mã độc hại thông qua Google CDN, thì có lẽ anh ta có thể làm tương tự nếu jQuery được phục vụ từ chính trang web đó, đúng không?
Dường như Google CDN hỗ trợ phân phát thư viện qua SSL.
Việc phân phát jQuery từ CDN có thực sự kém an toàn hơn sau đó phân phối nó từ chính máy chủ không? Mối đe dọa này nghiêm trọng như thế nào?
Có vấn đề về quyền riêng tư liên quan, vì Google có thể biết người dùng nào truy cập vào trang web của bạn. –
@Gert - Họ sẽ * có thể * biết, nhiều trang web mà người dùng của bạn truy cập cũng kéo cùng một tệp từ CDN, càng ít khả năng họ truy cập google qua trang web của bạn. –
@Nick - Miễn là người dùng không làm mới trang (ví dụ: thông qua nút làm mới, CTRL-R hoặc CTRL-F5). –