Я пишу веб-приложение, которое делает некоторое шифрование данных на стороне клиента, чтобы гарантировать, что я никогда не увижу, что клиент отправляет на мой сервер. Я действительно беспокоюсь о том, что третья сторона получает доступ к моему JavaScript-коду, а затем добавляет в свой файл JavaScript черный или другой вредоносный код.Обеспечение JavaScript не было изменено
Поскольку JavaScript часто размещается на сторонних CDN, как можно гарантировать, что файл JavaScript не был изменен или изменен до того, как браузер загрузит его? Я бы предпочел получить большое уведомление о безопасности на моей странице, чем загрузить некоторые измененные JavaScript в моем браузере клиентов.
В обычной программе я бы подписал цифровой файл, чтобы убедиться, что он не был подделан, но я не думаю, что браузеры поддерживают проверку заданной сигнатуры перед загрузкой и/или загрузкой файла JavaScript. Должно быть какое-то решение для этого в противном случае размещение любых файлов на CDN будет огромным риском для безопасности. SSL защищает только файл на транспорте, а не когда он сидит на сервере CDN.
Как если бы ваш CDN был взломан? – Mathletics
@Mathletics Yep. Или избивший сотрудник провайдера CDN решил немного «повеселиться». – Cromulent
В любом случае вам нужно найти новый CDN. – Mathletics