[编辑:] 如果访问我的网站的客户通过微软的CDN网络提供jQuery,那么他/她的DNS会被模仿微软CDN的攻击者欺骗。在这种情况下,理论上攻击者应该能够运行任意javascript代码。
有没有办法防止这种情况发生?或者我应该停止热链接CDN服务器?
答案 0 :(得分:1)
标准的XSS预防机制适用,但在这种情况下,由于它是CDN,您可能对服务器没有太多控制权,因此您可以做的最好的事情就是只使用基于SSL的CDN。
也就是说,如果受害者的DNS已经遭到入侵,他们可能会有很多其他问题,特别是像银行这样的高价值网站,或像Facebook这样的大型目标网站,更多的人可能会使用