使用SRI解决CDN劫持问题

最新推荐文章于 2024-08-15 10:05:52 发布
最新推荐文章于 2024-08-15 10:05:52 发布
阅读量3k 收藏
点赞数
分类专栏: Web安全 文章标签: CDN SRI https web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mevicky/article/details/94618051
版权

CDN劫持的表现形式

之前总说https的安全的。如果你遇到这么一个场景:网站是https的,cdn也是https,但是用户还是看到广告,或者直接唤起其他app等更加恶心的操作。

这个时候你可以考虑下自己是否遭到了CDN劫持

劫持方非常狡猾,每天每个用户只劫持一次,或者只会在固定时间段劫持,非常难以重现

这样说明,使用CDN也存在风险,如果攻击者获得对 CDN 的控制权,则可以将任意恶意内容注入到 CDN 上的文件中 (或完全替换掉文件),因此可能潜在地攻击所有从该 CDN 获取文件的站点。

用SRI来解决这个问题

SRI是什么

面对如上的问题,需要引入一个SRI的API的概念。

SRI是subresource integrity, 子资源完整性,是指浏览器通过验证资源的完整性来判断其是否被篡改的安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改

它的兼容性在此,IE是全线没指望了,所以IE用户可能帮助不了了。但是我估计也没人会去攻击IE用户了。

SRI怎么用

将使用base64编码过后的文件哈希值写入所引用的<script><link>标签的integrity属性。

integrity属性分为两个部分,第一部分是指定哈希值的生成算法(目前支持sha256,sha384和sha512),第二部分是经过编码的实际哈希值,两者之前用一个短横(-)来分隔,例如:

<script type="text/javascript" src="app.bundle.js"
    integrity="sha256-WcONURDxHuPpCyTfyxv6ULC5IQS8W/TvkOfiluU2Y1w= sha512-XZBIDDYvednMCvIE+VxLhoh3GZ550KQEUuUG8EA/HNUKVOa9sl2YpyeIGVmi6NVu2VAAT+bReuzUszzugYNxKQ=="
    crossorigin="anonymous"></script>

至于如何生成sha256的hash编码,如果你是使用webpack,有现成的插件webpack-subresource-integrity,这里有一个简单的使用demo

如果不是使用webpack,就直接自己动手吧,基于crypto自己转码实现一下就好了。

检测问题

浏览器如果发现文件内容不一致,则会抛出该script的onerror事件,并不会去加载这段脚本的内容。

如果项目有异常监控的话,拿到这个内容,发给服务端解码进行比较就知道是不是遇到CDN劫持了。

原文markdown地址:omnipotent-front-end/blog

布瑞泽的童话
关注
专栏目录
cdn劫持
前端361
03-04 4928
cdn可以用来加速资源请求,cdn原理是分配就近的资源,对于已经加载过的资源直接从就近节点读取,进而加快网络请求速度。 优势: 根据上图的拓扑结构,用户可以就近取到所需内容,解决Internet网络拥堵状况,提高用户访问网站的速度 2. 随着公司的发展,用多个服务器解决不同地区用户访问同一个网站网络延迟高的问题,减轻服务器压力,当某个节点发生故障时,可以引导用户到最近的服务节点 CDN分...
使用 SRI 解决 CDN 劫持
Innocence_0的博客
02-13 540
使用 SRI 解决 CDN 劫持
webpack-subresource-integrity 使用教程
最新发布
gitblog_00985的博客
08-15 1038
webpack-subresource-integrity 使用教程 webpack-subresource-integrityWebpack plugin for enabling Subresource Integrity.项目地址:https://gitcode.com/gh_mirrors/we/webpack-subresource-integrity 项目介绍 webpack-sub...
DNS劫持-CDN服务
weixin_53053805的博客
05-01 379
CDN(Content Delivery Network)是指内容分发网络,它是一种通过分布式部署在不同地理位置的服务器来提高网络性能、加速内容传输的服务。CDN服务的主要目的是提高网站的访问速度和可用性,减少网络拥塞和延迟,提升用户体验。(主要功能就是加速与缓存)
网站安全整理总结
qq_53555672的博客
06-10 1041
前端八股
bootstrapcdn:免费Bootstrap CDN托管
04-05
SRI与这样的静态版本一起使用安全的。 <!-- CSS only --> <link href="https://cdn.jsdelivr.net/npm/bootstrap@4.6.0/dist/css/bootstrap.min.css" rel="stylesheet"> <!-- JavaScript Bundle...
SRI::file_cabinet:Subresource IntegritySRI)哈希-排名第一的免费开放源CDN,旨在简化开发人员的生活
02-11
有关我们的CDN每月统计信息和使用情况报告,请查看存储库。 您可以在找到我们所有的存储库! 贡献 该存储库由cdnjs机械手完全自动化,不欢迎请求请求。 执照 托管在cdnjs上的每个库均以其自己的许可证发布。 该...
sri24
04-01
sri24软件包: sri24的目标是提供sRI24是基于“ MRI”的正常成人人脑解剖图谱,该图谱是通过从24个正常对照对象的图像中进行无模板的非刚性配准而生成的。...您可以使用以下sri24从GitHub安装sri24
sri_hash.cr:为资源生成SRI哈希或完整脚本标记
02-04
sri_hash.cr-为资源生成SRI哈希或完整脚本标记 Crystal的子资源完整性助手。 有关SRI的更多信息: : 安装 将依赖项添加到您的shard.yml : dependencies : sri_hash : github : anamba/sri_hash.cr 运行分...
srihash.org:SRI哈希生成器
04-27
SRI哈希生成器 这是网站背后的代码。 它生成哈希。 安装 您需要使用Node.js 10.x和npm进行lint,并需要使用本地服务器进行测试 克隆git仓库并安装依赖项: git clone git://github.com/mozilla/srihash.org.git cd ...
强大的哈希值校验工具,可同时校验version,date,md5,sha1,crc32
12-22
小巧强大的哈希值校验工具,可同时校验version,date,md5,sha1,crc32
webpack生产环境优化-优化代码运行的性能
~
04-09 551
1.lazy loading懒加载:对js进行懒加载 现有两个js文件,index.js和test.js,当点击按钮的时候再加载test.js文件, 预加载:prefetch,会在使用之前提前加载js文件 页面初始化时network中可以看到加载了test.js文件,点击按钮的时候会读取缓存,重新加载js文件 那么疑问来了,既然预加载会直接加载js文件,为什么还要放在函数里呢,和被注释掉的代码有什么却别呢? 预加载:会在浏览器加载完其他文件后,空闲的时候再偷偷加载文件,相对于懒加载的好
Web页面子资源完整性校验详细指南
dreamapplehappyapple的专栏
09-20 1300
时间过得好快,距离上一篇文章动手写一个简单的编译器:在JavaScript中使用Swift的尾闭包语法发布已经过去快半年了,这半年时间也一直在想着按时更新文章;但是因为工作和生活的琐事,没有能够坚持下来。有点惭愧,感觉之前年初立下的计划快要实现不了了。希望接下来的这一段时间能够坚持更新文章吧。 这次要跟大家分享的是关于Subresource Integrity(子资源完整性)的内容。如果平时对Web安全关注不是很多的话,可能没怎么听过这个术语。不知道也没关系,接下来我会跟大家一起来研究讨论一下这个内容,相信
【vue 引入cdn加载失败 解决办法】
slience_me的博客
05-20 1510
在项目index.html中放上 生产环境下自动加载 src下可以把文件放到自己服务器,本地加载 <% if(htmlWebpackPlugin.options.isProd){ %> <script src='file/20220519/vue.min.js' type='text/javascript'></script> <script src='file/20220519/vue-router.min.js' typ
Webpack——html-webpack-plugin 插件
热门推荐
会飞的小鹿
10-15 3万+
安装插件 html-webpack-plugin插件 这是一个webpack插件,可以简化HTML文件的创建,为您的webpack捆绑服务提供服务。这对于webpack包含文件名中包含哈希值的bundle 来说尤其有用,它会更改每个编译。您可以让插件为您生成HTML文件,使用lodash模板提供您自己的模板或使用您自己的加载器。 在开发时使用插件 npm i -D html-webpack...
webpack 配置
weixin_44785498的博客
02-07 1145
vue 中的 webpack 配置 publicPath 部署应用包时的基本 URL,这个值也可以被设置为空字符串 (’’) 或是相对路径 (’./’),这样所有的资源都会被链接为相对路径,这样打出来的包可以被部署在任意路径。 Default: ‘/’ 例如: module.exports = { // 基本路径 publicPath: '/c/' } 那么,我们在使用本地服务器的时候,需要访问 http://localhost:8080/c/ 注意: ./ 和 / 的区别 如果设置 pu
webpack 安装时报错 eintegrity
QMM的专栏
08-01 1322
1. 由于上一步输入命令的时候,输入错误导致使用 npm install webpack --save-dev时报错     报错信息如下:     npm ERR! code EINTEGRITY                                                             npm ERR! sha1-ysmvh2LIWDYYcAPI3+GT5eL
SRI六轴力传感器使用指南:机器人末端力矩反馈
"六轴传感器使用手册,详细介绍了六轴传感器的原理、性能指标、安装和电气接口等关键内容,适用于机器人末端力矩反馈。...SRI作为专业供应商,提供的使用手册详细且全面,是用户进行相关应用开发的重要参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值