标签: javascript security proxy xss
如今,尝试通过an SSL或SPDY连接发送第三方脚本是一个热门话题。
来自第三方的代理脚本是否会更改浏览器中脚本的来源和沙盒,并引入受损第三方成为攻击媒介的风险?
如果是这样,如何避免这种情况?
答案 0 :(得分:2)
使用第三方脚本一直是一个安全问题。代理不会改变它。
请记住,所有脚本都在页面上下文中运行,无论其来源如何。这就是为什么首先使用CDN库的原因。例如,如果某人以ajax.googleapis.com入侵,那么这个世界可能会遇到很多麻烦。
唯一的区别是,当您从http主机代理脚本时,您将绕过mixed content security warning。
复制,不要代理。
