在线引用第三方 js 库的防篡改策略

本贴最后更新于 2230 天前,其中的信息可能已经时移世异

目录

目前看到点评、美团站点的 js 都本地化或者使用 s3,但是总归有些需要使用在线应用这种方式,如何去防止 js 劫持等呢?

背景:

第三方 js 主要是分享、广告、站长分析、功能(jQuery),需要考量隐私、安全风险和第三方 js 可能的可用性问题。

解决办法:

https 是防篡改必须;

消减影响措施为:通过将 js 放入 iframes;采用 csp 策略防止 xss;在主站通过脚本防止第三方 js 的 document.write 注入 dom 元素实现。

组件

https://github.com/snipsco/yett

  • 安全

    安全永远都不是一个小问题。

    199 引用 • 816 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...