我正在编写一个Web应用程序,对客户端数据进行一些加密,以确保我永远不会看到客户端发送到我的服务器的内容。我真正担心的是第三方获取了我的JavaScript代码,然后在我的JavaScript文件中添加了后门或其他恶意代码。
由于JavaScript通常托管在第三方CDN上,如何确保浏览器下载之前JavaScript文件没有被更改或篡改?我宁愿在我的页面上放置一个大的安全提示,也不要在我的客户端浏览器中加载被篡改的JavaScript。
在普通程序中,我会数字签名该文件以确保它没有被篡改,但我认为浏览器不支持在下载和/或加载JavaScript文件之前检查给定签名。否则,将任何文件托管在CDN上都将是巨大的安全风险。SSL仅保护传输中的文件,而不是它坐落在CDN服务器上的时候。
由于JavaScript通常托管在第三方CDN上,如何确保浏览器下载之前JavaScript文件没有被更改或篡改?我宁愿在我的页面上放置一个大的安全提示,也不要在我的客户端浏览器中加载被篡改的JavaScript。
在普通程序中,我会数字签名该文件以确保它没有被篡改,但我认为浏览器不支持在下载和/或加载JavaScript文件之前检查给定签名。否则,将任何文件托管在CDN上都将是巨大的安全风险。SSL仅保护传输中的文件,而不是它坐落在CDN服务器上的时候。