标签：javascript security facebook google-plus facebook-like

我的营销团队需要社交分享按钮(Facebook,G,SU等).安全团队提出了一个问题,我很尴尬地承认我以前没有考虑过：由于第三方JS是一个攻击媒介,我们不应该直接从第三方服务器上加载它.

风险

我将以Facebook为例. FB的某个人可以添加一些偷偷摸摸的后门代码来观看用户或至少抓住他们的电子邮件和来自我们网站的名称. DNS缓存中毒可用于提供恶意Javascript而不是预期的FB库.等等 – 这里可能还有更多的攻击向量.

可能的解决方案

-Host本地JS(在审查安全漏洞后),并在cron上运行curl diff来监视更新 – 在托管之前审查这些更新.这不是真的可行,因为FB和g都会在加载主lib之后加载额外的库,而我还没有找到解决方法.

– 不要使用社交分享按钮？

这里有最受欢迎的最佳做法吗？我的第一反应是,来吧,这是谷歌和Facebook.如果他们的社交分享按钮发生恶意,整个互联网将在0.001秒内了解它.怎么说你？

解决方法:

除此之外,确实没有任何普遍接受的解决方案：

>盲目信任Facebook / Google /等
>不要使用他们的脚本.

标签：javascript,security,facebook,google-plus,facebook-like
来源： https://codeday.me/bug/20190610/1208550.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。