考虑到“社交共享”徽章(“喜欢”按钮等)的普遍存在,您如何降低与第三方Javascript相关的风险？

我的营销团队需要社交分享按钮(Facebook,G,SU等).安全团队提出了一个问题,我很尴尬地承认我以前没有考虑过：由于第三方JS是一个攻击媒介,我们不应该直接从第三方服务器上加载它.

风险

我将以Facebook为例. FB的某个人可以添加一些偷偷摸摸的后门代码来观看用户或至少抓住他们的电子邮件和来自我们网站的名称. DNS缓存中毒可用于提供恶意Javascript而不是预期的FB库.等等 – 这里可能还有更多的攻击向量.

可能的解决方案

-Host本地JS(在审查安全漏洞后),并在cron上运行curl diff来监视更新 – 在托管之前审查这些更新.这不是真的可行,因为FB和g都会在加载主lib之后加载额外的库,而我还没有找到解决方法.

– 不要使用社交分享按钮？

这里有最受欢迎的最佳做法吗？我的第一反应是,来吧,这是谷歌和Facebook.如果他们的社交分享按钮发生恶意,整个互联网将在0.001秒内了解它.怎么说你？

解决方法:

除此之外,确实没有任何普遍接受的解决方案：

>盲目信任Facebook / Google /等
>不要使用他们的脚本.

标签：javascript,security,facebook,google-plus,facebook-like
来源： https://codeday.me/bug/20190610/1208550.html