是否包含所有这些第三方JavaScript文件会带来安全风险?
作者:互联网
如果您在页面上包含所有这些各种javascript文件,包括网站分析,点击跟踪等各种服务,这是否会产生巨大的安全风险,因为使用javascript他们可以劫持在表单上输入的人员信用卡?
目前这甚至被认为是安全的?
这意味着,您的服务器是安全的,您的支付提供商是安全的,您拥有SSL,但如果有人要破解人们使用的任何这些服务(我看到许多网站使用的10多项服务来跟踪点击,广告相关等),那么他们可以包含您的付款表单.
解决方法:
是的,这是一种安全风险,称为第三方脚本包括.
通过在第三方托管的页面上包含脚本,您相信外部域不是恶意的也不会受到损害.通过使用< script src =“// example.com”>标记,第三方域名完全控制您网站上的DOM.他们可以注入他们想要的任何JavaScript.
你是对的. PageFair was recently compromised将其提供分析服务的每个站点都放在其中.您应该验证您为脚本引用的所有第三方域,并确保您信任它们.例如,你可能对谷歌和Facebook这样的大家伙都没问题,但是你应该考虑放弃它们或者查看脚本代码然后在你的域上本地托管.
您可以使用subresource integrity缓解此问题:
<script src="https://example.com/example-framework.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
crossorigin="anonymous"></script>
这将要求浏览器检查加载的脚本是否具有指定的加密哈希.对脚本的任何更改(即使与单个字符一样多)都会产生完全不同的哈希,从而可以检测到任何更改,并且脚本将在加载和运行时被拒绝.截至2018年8月,all major browsers support it except for IE and iOS Safari.
标签:javascript,security,stripe-payments,pci-compliance 来源: https://codeday.me/bug/20190623/1271414.html