有个项目引用了 cdn.bootcss.com 的一个 js 库
https://cdn.bootcss.com/html2canvas/0.5.0-beta4/html2canvas.min.js
偶发性请求大量第三方 url ,抓包发现
后面的代码不是每次请求都带着,https 协议应该可以排除劫持
后续引入的代码
This topic created in 816 days ago, the information mentioned may be changed or developed.
 | 1 ysc3839 Feb 20, 2024 via Android  3 https://www.cnblogs.com/ADSZ/p/17465009.html bootcss 至少在去年 6 月份就被人发现挂马了,那么久都不解决,基本可以认定是网站所有者故意挂马 |
 | 2 baiduyixia Feb 20, 2024 为什么还要用它呢? |
 | 3 imydou OP @baiduyixia 已经不用了,我不是很确定是他有问题(不太自信),发出来让大伙研究下,如果真实就广而告之了 |
| 4 ysc3839 Feb 20, 2024 via Android 3 @ |
 | 5 filtrate Feb 20, 2024 2 豫 B2-20070002-14 bootcdn.cn 豫 B2-20070002-15 bootcdn.net 豫 B2-20070002-16 bootcss.com 备案类型 企业 备案主体 郑州紫田网络科技有限公司 |
 | 6 yumusb Feb 20, 2024 |
| 7 ysc3839 Feb 20, 2024 via Android 2 |
 | 8 Shiroka Feb 20, 2024 via iPhone 日经贴,bootcdn 已经被不少 v 友黑名单了 try https://mirrors.sustech.edu.cn/cdnjs/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js or https://s4.zstatic.net/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js 能加 integrity 最好 |
 | 9 cat Feb 20, 2024 紫田啊…… 那就没啥好说了 |
| 10 Shiroka Feb 20, 2024 via iPhone 1 @ysc3839 原先是王赛个人主体备案,后来卖给了紫田,据说是景安的子公司,但是天眼查倒是看不出来什么关联。值得注意的是 51la 也是紫田的,这家统计挂马投毒可是臭名昭著 |
 | 11 bjfane PRO 不知道历史,早些年还挺有好感的,这回彻底还 cdnjs 了 |
 | 13 muzuiget Feb 21, 2024 用 Subresource Integrity 保平安,把文件 hash 值设置到 `integrity` 属性里。 |
 | 14 mytsing520 PRO 这家上游是 CDNJS ,挂在 CloudFlare ,国内 CF 边缘节点 IP 被劫持的事情不少 |
 | 15 ldapadmin Feb 21, 2024 一直存在投毒的情况,不是这会儿才发生的了 |
 | 16 o9cS1g732XRD9dy7 Feb 21, 2024 体量大了之后就想开始弄钱了 宰杀的是我们开发者 普通人的信任 透支了也就黑得不要不要的了 |
 | 17 NewYear Feb 23, 2024 bootcss 不是一次两次出问题了,还在用只能说是勇士了。 |
Select Language