场景如下: 网站的主要部分在一台服务器上。所有流量都超过https。我无法控制这台服务器。
主题使用来自其他服务器的css文件和图像。也是通过https。我完全可以控制这台服务器。
如果css文件和图像通过http,主站点(如何以及为何)容易受到攻击?我只询问css和图像。
我不知道相关性如何,但服务器是Apache,语言是PHP。
----------------编辑------------
到目前为止,中间还有一个男人'可以改变css从而隐藏我的内容,引入新图像和添加更多文本的攻击
但不可以创建实时链接,或者添加js ......
Here是关于symcbean启动的这个主题的一个很好的讨论。
答案 0 :(得分:3)
任何未加密的HTTP连接都可能被中间人拦截和修改。这意味着,您通过HTTP连接检索的任何资源都是不值得信任的;无法确认它是否是预期的原始资源。这意味着攻击者可能会在您的页面中包含您不打算包含的资源。
对于CSS文件,可以在您的网站上更改内容(private static final dateformat = new SimpleDateFormat("yyMM");
public static boolean checkDate(String date){
Date date = dateformat.parse(date);
}
,display: none),如果是图片漏洞可能会被引入(通过错误的图像解码客户端),可以注入Javascript完全任意行为的情况(例如,将所有击键发送到第三方服务器)。
答案 1 :(得分:0)
第三方可以通过动态篡改数据或通过欺骗目标来修改这些CSS或图像以传达不同的内容。浏览器不知道是否从可靠来源获取这些内容,并且可能会抱怨mixed content issues。 CSS3有许多功能可能会带来来自其他域的图片或包含非预期的内容。