最近、SSLまたはSPDY接続を介してサードパーティのスクリプトを送信しようとすることが話題になっています。
サードパーティからのプロキシスクリプトは、ブラウザのスクリプトの出所とサンドボックスを変更し、侵害されたサードパーティが攻撃ベクトルになるリスクをもたらしますか?
もしそうなら、これをどのように回避できますか?
1 に答える
2
サードパーティのスクリプトを使用することは、常にセキュリティの問題です。プロキシしてもそれは変わりません。
すべてのスクリプトは、その起源に関係なく、ページのコンテキストで実行されることに注意してください。そもそもライブラリに CDN を使用できるのはそのためです。たとえば、誰かが ajax.googleapis.com を侵害した場合、世界は大きな問題に直面する可能性があります。
唯一の違いは、http ホストからスクリプトをプロキシするときに混合コンテンツのセキュリティ警告をバイパスすることです。
もしそうなら、どうすればこれを回避できますか?
コピー、プロキシしないでください。
于 2012-06-29T09:32:32.877 に答える