1
[편집] : Microsoft의 CDN 네트워크에서 jQuery를 제공하는 클라이언트가 Microsoft의 CDN을 흉내내는 공격자에게 스푸핑 된 경우 이 경우 공격자는 이론적으로 임의의 자바 스크립트 코드를 실행할 수 있어야합니다.jQuery와 같은 CDN 호스트 스크립트에서의 XSS 방지
이 문제를 방지 할 수있는 방법이 있습니까? 아니면 단순히 CDN 서버 핫 링크를 중지해야합니까?
나는 전문가는 아니지만 그러한 공격을 막기 위해 HTTPS (SSL)를 통해 Google에서 제공하는 파일이 아닙니까? –
@ Tomasz 예, 그렇습니다. 그러나 Microsoft의 CDN을 사용하는 경우에는 제 이론이 유효 할 것입니다. Microsoft는 HTTP [http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.7.2.min.js](http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.7.2)를 통해이 서비스를 제공합니다. .min.js) – Collins
나는 HTTPS를 통해 전달하는 CDN을 사용하는 스푸핑 결과가 유일한 합리적인 솔루션 인 것처럼 보이지 않도록하고 싶습니다 (CA가 손상되지 않는 한 적어도 한 번 이상 발생했습니다) –