The Cloudflare Blog
·
自动将 polyfill.io 链接替换为 Cloudflare 的镜像以实现更安全的互联网
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
Polyfill.io 是一个 JavaScript 库服务,被发现向用户的浏览器注入恶意代码。Cloudflare 发布了一个安全的替代方案 cdnjs,并建议替换 polyfill.io。问题的出现是因为 polyfill.io 被出售给 Funnull,增加了供应链风险。Cloudflare 的客户端安全系统 Page Shield 检测到了恶意活动。Cloudflare 的 HTML 重写服务 ROFL 允许快速安全地修改 polyfill.io 链接。Cloudflare 建议网站所有者移除 polyfill.io 并用他们的安全镜像 cdnjs 替换。
🎯
关键要点
- polyfill.io 是一个流行的 JavaScript 库服务,但现在不再可信,应该从网站中移除。
- Cloudflare 的 Page Shield 安全系统检测到 polyfill.io 被用于向用户浏览器注入恶意 JavaScript 代码。
- Cloudflare 发布了自动 JavaScript URL 重写服务,将 polyfill.io 链接替换为安全的 cdnjs 镜像,以降低供应链攻击风险。
- polyfill.io 的新所有者 Funnull 被认为缺乏信任记录,增加了供应链风险。
- Cloudflare 建议所有网站所有者移除 polyfill.io,并用 cdnjs 替换,确保网站安全。
- 恶意代码的注入可能导致用户被重定向到其他网站,影响数以万计的网站安全。
- Cloudflare 的 ROFL 技术允许快速安全地修改 HTML,确保在不破坏网站功能的情况下替换 polyfill.io 链接。
- 对于使用 Cloudflare 的免费用户,该重写功能默认启用,付费用户可以一键开启。
- 所有网站所有者都应立即搜索代码库,替换 polyfill.io 为 Cloudflare 的安全镜像链接。
- Cloudflare 提供的安全镜像链接包括压缩和未压缩版本,确保网站不再依赖 polyfill.io。
❓
延伸问答
为什么 polyfill.io 不再可信?
因为 polyfill.io 被出售给 Funnull,增加了供应链风险,并且被发现向用户浏览器注入恶意 JavaScript 代码。
Cloudflare 如何替换 polyfill.io 的链接?
Cloudflare 提供了自动 JavaScript URL 重写服务,可以将 polyfill.io 的链接替换为安全的 cdnjs 镜像。
使用 Cloudflare 的网站如何移除 polyfill.io?
在 Cloudflare 仪表板中,前往安全设置,点击即可移除 polyfill.io,免费用户默认启用此功能。
为什么建议所有网站所有者都移除 polyfill.io?
因为 polyfill.io 被用于注入恶意代码,可能导致用户被重定向到其他网站,影响网站安全。
Cloudflare 的 ROFL 技术是什么?
ROFL 是 Cloudflare 的 HTML 重写技术,能够快速安全地修改 HTML 内容,确保链接替换不破坏网站功能。
如何确保网站不再依赖 polyfill.io?
网站所有者应搜索代码库,将 polyfill.io 替换为 Cloudflare 的安全镜像链接,如 cdnjs.cloudflare.com/polyfill/。
🏷️
标签
➡️
