baomitu.com的文件可能是修改过的 #211
Comments
|
看到第一眼认为是供应链投毒,详见这个: https://v2ex.com/t/1056428 经过下面的验证,排除供应链投毒 |
|
验证脚本 curl -LSso /tmp/jquery.min.js https://code.jquery.com/jquery-2.1.4.min.js && md5sum /tmp/jquery.min.js
curl -LSso /tmp/baomitu-jquery.min.js https://lib.baomitu.com/jquery/2.1.4/jquery.min.js && md5sum /tmp/baomitu-jquery.min.js
curl -LSso /tmp/cloudflare-jquery.min.js https://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.4/jquery.min.js && md5sum /tmp/cloudflare-jquery.min.js
curl -LSo /tmp/fastly-jsdelivr-jquery.min.js https://fastly.jsdelivr.net/npm/[email protected]/dist/jquery.min.js && md5sum /tmp/fastly-jsdelivr-jquery.min.js
curl -LSo /tmp/google-jquery.min.js https://ajax.googleapis.com/ajax/libs/jquery/2.1.4/jquery.min.js && md5sum /tmp/google-jquery.min.js
验证结果结果:
结论并没啥问题 |
|
所以我觉得应该删除涉嫌修改源文件的cdn,因为这就不是cdn了 |
@lvzhenbo 查看验证结果,并没有发现 修改源文件的事情 , 应该是用了不同时间的发版文件 公开的资源中,没发现可替代的地址 |
|
嗯。。。我看到了jq官网少了一行这个 //# sourceMappingURL=jquery.min.map |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
https://lib.baomitu.com/jquery/2.1.4/jquery.min.js
https://code.jquery.com/jquery-2.1.4.min.js
现在资源加载可以添加hash,如果文件修改过hash不一致会被浏览器拦截
The text was updated successfully, but these errors were encountered: