The Cloudflare Blog
·
自动将 polyfill.io 链接替换为 Cloudflare 的镜像以实现更安全的互联网
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
Polyfill.io 是一个 JavaScript 库服务,被发现向用户的浏览器注入恶意代码。Cloudflare 发布了一个安全的替代方案 cdnjs,并建议替换 polyfill.io。问题的出现是因为 polyfill.io 被出售给 Funnull,增加了供应链风险。Cloudflare 的客户端安全系统 Page Shield 检测到了恶意活动。Cloudflare 的 HTML 重写服务 ROFL 允许快速安全地修改 polyfill.io 链接。Cloudflare 建议网站所有者移除 polyfill.io 并用他们的安全镜像 cdnjs 替换。
🎯
关键要点
- polyfill.io 是一个流行的 JavaScript 库服务,但现在不再可信,应该从网站中移除。
- Cloudflare 的 Page Shield 安全系统检测到 polyfill.io 被用于向用户浏览器注入恶意 JavaScript 代码。
- Cloudflare 发布了自动 JavaScript URL 重写服务,将 polyfill.io 链接替换为安全的 cdnjs 镜像,以降低供应链攻击风险。
- polyfill.io 的新所有者 Funnull 被认为缺乏信任记录,增加了供应链风险。
- Cloudflare 建议所有网站所有者移除 polyfill.io,并用 cdnjs 替换,确保网站安全。
- 恶意代码的注入可能导致用户被重定向到其他网站,影响数以万计的网站安全。
- Cloudflare 的 ROFL 技术允许快速安全地修改 HTML,确保在不破坏网站功能的情况下替换 polyfill.io 链接。
- 对于使用 Cloudflare 的免费用户,该重写功能默认启用,付费用户可以一键开启。
- 所有网站所有者都应立即搜索代码库,替换 polyfill.io 为 Cloudflare 的安全镜像链接。
- Cloudflare 提供的安全镜像链接包括压缩和未压缩版本,确保网站不再依赖 polyfill.io。
🏷️
标签
➡️
