1
[編輯:] 如果訪問我的網站(通過Microsoft CDN網絡提供jQuery的客戶端)的攻擊者模仿Microsoft CDN,他/她的DNS會被欺騙。在這種情況下,理論上攻擊者應該能夠運行任意的javascript代碼。CDN託管腳本(如jQuery)的XSS預防
有什麼辦法可以防止這種情況發生?或者我應該停止盜鏈CDN服務器?
A
回答
1
標準的XSS預防機制適用,但在這種情況下,由於它是一個CDN,因此您可能沒有太多的控制權限,所以最好的做法是僅使用SSL上的CDN。
也就是說,如果受害者的DNS已經被盜用,他們很可能會有其他問題,尤其是像銀行這樣的高價值網站,或者像Facebook這樣的大型目標網站,可能會有更多人使用。
相關問題
- 1. 開源的XSS預防腳本
- 2. Magento Xss預防
- 3. XSS預防playframework1.2.4
- 4. XSS預防PHP
- 5. Ruby on Rails和XSS預防
- 6. PHP XSS預防白名單
- 7. 防止XSS(跨站點腳本)
- 8. 防止內嵌Java腳本XSS注入
- 9. 如何添加到腳本管理器引用MS CDN JQuery
- 10. 在CDN上託管Microsoft Ajax?
- 11. 加載託管在CDN上的JS庫的本地版本
- 12. 以正確的方式預防XSS
- 13. 預防XSS攻擊的新方法
- 14. 如何防止keyup()jQuery事件的XSS?
- 15. 跨站點腳本預防
- 16. MVC3圖像託管腳本
- 17. 託管JavaScript庫的CDN(即CodeMirror)
- 18. 是否託管在Google CDN上的jquery.cookies?
- 19. 使用預定的Python腳本來託管Mongo DB
- 20. 非CDN託管的jQuery引起了一些奇怪的行爲
- 21. CDN託管的jQuery庫的最佳協議
- 22. jQuery UI語言文件是否託管在Google的CDN上?
- 23. 免費CDN - 內容分發網絡(專爲託管的jQuery)
- 24. GWT干擾XSS預防措施
- 25. ESAPI for XSS預防不起作用
- 26. Apache Commons StringEscapeUtils vs JSoup XSS預防?
- 27. XSS預防,整潔vs淨化器?
- 28. 爲何XSS預防不足ValidateRequest =「true」?
- 29. 在CDN上託管Ajax PHP文件?
- 30. Azure CDN與共享託管服務器
我不是專家,但不是Google通過HTTPS(SSL)提供這些文件以防止此類攻擊? – 2012-07-26 17:21:34
@Tomasz,是的,但是如果我使用微軟的CDN,我的理論是有效的。 Microsoft通過HTTP服務它[http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.7.2.min.js](http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.7.2 .min.js) – Collins 2012-07-26 17:28:41
我想避免使用通過HTTPS傳遞的CDN進行欺騙的結果,這似乎是唯一合理的解決方案(只要CA未受損,至少發生一次) – 2012-07-26 22:43:04