注意 polyfill JS库使用风险
💡起因
polyfill.js 是一个为旧版浏览器改善兼容性的JS库被各方广泛采用(全网约4%的网站引用它),相关域名 polyfill.io 于今年2月由服务商 Funnull(方能) 接管,项目作者2月26日申明不曾拥有该域名控制权,新的服务商存在篡改JS库历史:注入恶意代码,将用户重定向跳转到其它网站,现已被各方标注不可信恶意域名
🏷措施
Cloudflare已为polyfill创建镜像同时为所有免费用户默认启用替换服务:将网页中找到的 polyfill.io 链接重写为 cdnjs.cloudflare.com/polyfill/ 以此过渡,付费用户需前往安全设置中自行启用
对于未使用Cloudflare CDN服务的朋友,在此强烈建议删除对 polyfill.io 的引用,更换使用安全的镜像备份或自行托管 polyfill.js
Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet
#JS #安全 #镜像
Via @Cloudflare_CN
💡起因
polyfill.js 是一个为旧版浏览器改善兼容性的JS库被各方广泛采用(全网约4%的网站引用它),相关域名 polyfill.io 于今年2月由服务商 Funnull(方能) 接管,项目作者2月26日申明不曾拥有该域名控制权,新的服务商存在篡改JS库历史:注入恶意代码,将用户重定向跳转到其它网站,现已被各方标注不可信恶意域名
🏷措施
Cloudflare已为polyfill创建镜像同时为所有免费用户默认启用替换服务:将网页中找到的 polyfill.io 链接重写为 cdnjs.cloudflare.com/polyfill/ 以此过渡,付费用户需前往安全设置中自行启用
对于未使用Cloudflare CDN服务的朋友,在此强烈建议删除对 polyfill.io 的引用,更换使用安全的镜像备份或自行托管 polyfill.js
Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet
#JS #安全 #镜像
Via @Cloudflare_CN