Включает ли все эти сторонние файлы javascript угрозу безопасности?

Question

Когда у вас есть все эти различные файлы javascript, включенные на странице для различных сервисов, таких как аналитика веб-сайтов, отслеживание кликов и т. Д., Не создает ли этого огромного риска для безопасности, поскольку с помощью javascript они могут захватить кредитную карту лиц, введенную на форме?

Как это даже считается безопасным в настоящее время?

Смысл, ваш сервер является безопасным, ваш поставщик платежей безопасен, у вас есть SSL, но если кто-то должен взломать любую из этих служб, которые используют люди (я вижу более 10+ сервисов, которые многие сайты используют для отслеживания кликов, связанных с рекламой , и т. д.), тогда они могут содержать форму платежа.

Answer 1

Это хорошее наблюдение. This article on MDN очень хорошо описывает риски, связанные со смешанным контентом - по существу, если безопасный сайт загружает незащищенный ресурс, посредник может изменить контент на что-то злонамеренное. Надежные веб-сайты обойдутся этим, не включая все их нормальные стили и поведение на страницах проверки. Это опасно и нелегко запускать Google Analytics на платежных формах. Большинство браузеров также по умолчанию не загружают потенциально опасный контент в этот параметр.

Однако, если каждый из них en masse Загрузка JavaScript загружается через безопасное соединение HTTPS, тогда все в порядке. Опасность вводится только тогда, когда вы загружаете что-то через HTTP на странице HTTPS, и даже тогда большинство современных браузеров не позволят вам совершить эту ошибку случайно, когда это действительно имеет значение.

Answer 2

Да, это риск для безопасности, известный как сторонний скрипт.

Включая скрипт на своей странице, размещенный сторонним участником, вы доверяете, что внешний домен не является злонамеренным и не подвергается риску. Используя тег <script src="//example.com">, домен третьей стороны имеет полный контроль над DOM на вашем сайте. Они могут вводить любой желаемый JavaScript.

Вы имеете право на беспокойство. PageFair was recently compromised сбивает каждый сайт, с которым он предлагал свою аналитическую службу. Вы должны проверить все сторонние домены, на которые ссылаетесь для скрипта, и убедиться, что вы им доверяете. Например, вы, вероятно, согласны с такими крупными парнями, как Google и Facebook, однако любые другие, которые вы должны рассмотреть, либо отбросив их, либо просмотрев код сценария, а затем разместив локально в своем домене.

Вы можете уменьшить это с subresource integrity:

<script src="https://example.com/example-framework.js" 
     integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC" 
     crossorigin="anonymous"></script> 

Это задаст браузер, чтобы проверить, что загруженный скрипт имеет указанный криптографический хэш. Любые изменения в скрипте, даже в виде одиночного символа, будут приводить к совершенно другому хешу, позволяющему обнаруживать любые изменения, и скрипт будет отклонён от загрузки и запуска.

browser support for it is currently flakey.