哈哈哈,上次送的loc账号自动签到脚本不知不觉都挂到金牌会员了(1000+),但是loc的邀请码涨价500+了,原来好像是100+来自,还是买不起。
----
#### 另外再说说论坛的事。
论坛有一个js文件,看上去很平常。如果看过安全圈的新闻,就会发现这种引用有问题。
首先这个**外部**js是没有用`async=""`或者`defer=""`加载的。
这个js又在`<head>`区块中,这说明什么问题?
##### 说明是这个js是同步加载的,并且要等这个js加载完才会加载正文`<body>`。
当cdn.jsdelivr.net域名连接性不好时,发过去的http包drop掉时,浏览器会一种等待这个js加载完成或者1分钟超时断开连接才加载正文。
会发生什么,用俗话来讲,就是cdn.jsdelivr.net加载的时候会白屏(因为body没加载)(不过tcp reset由于会迅速断开,反而不受影响)
----
##### 还有,这种方式
><script src="https://example.com/example-framework.js"></script>
直接引用一个外部js而不进行任何校验是十分危险的,而且还是这种任何人都有编辑权限的仓库,github,npm等等
即使现在指向官方,也不能保证未来官方仓库改名,删库后(然后被建了同名仓库顶替),或者被篡改(源仓库被黑,或者中间cdn被劫持等等)等等。
这个圈内有很多利用的例子,连xss都省了,直接钓走登录cookie。
-----
正确做法减少外部js引用,如果必须要引用,必须校验js的hash(如sha256等等)。
>
<script src=“https://example.com/example-framework.js” integrity=“sha256-Kap7fdgcCY5u+R9GqQ8K/uxy9rx7GYl1kPzQho1wx4Jw” crossorigin=“anonymous”></script>
我了解这个integrity是看到一个新闻,好像是某交易所网站引用外部js未校验的事情,结果上游js被篡改,导致用户币被盗走了。
最后,本来还想写一点但是忘了刚刚想的是什么了,那就算了。另外,感觉论坛变冷清了许多