Hlavní navigace

Názor k článku Bezpečnější web s hlavičkou Content Security Policy od Filip Jirsák - Už tě vidím, jak kontroluješ celé jQuery, jestli...

  • Článek je starý, nové názory již nelze přidávat.
  • 13. 12. 2016 14:26

    Filip Jirsák

    Už tě vidím, jak kontroluješ celé jQuery, jestli tam není nějaká bota
    Když si jQuery nahraju na vlastní servery, tak se ty boty zázračně odstraní? Připomínám, že celou dobu řešíme rozdíl v nahrávání skriptů z externích domén (obvykle z CDN) proti nahrávání z vlastního webu.

    s každým patchem měníš hashe
    Pokud nepoužívám žádný package manager, „s každým patchem“ zvedám verzi tak, že jdu na distribuční stránku jQuery, kliknu na požadovanou verzi a objeví se mi okno s HTML tagem, který stačí vložit do stránky. Například:

    <script
      src="https://code.jquery.com/jquery-3.1.1.min.js"
      integrity="sha256-hVVnYaiADRTO2PzUGmuLJr8BLUSjGIZsDYGmIJLv2b8="
      crossorigin="anonymous"></script>

    Co myslíte že je snazší – nechat tam ten atribut integrity, nebo ho pokaždé odmazávat?

    aby jely weby tvých externích zdrojů
    Když neběžel Google, nefunkčnost nějakého webíku opravdu nikoho netrápila.

    aby tam vždy byly správné verze
    Když se objeví odkaz na novou verzi jQuery na CDN, je ta verze v CDN už dostupná.

    aby jim je nikdo nenapadl
    Stačí si porovnat pravděpodobnost, že někdo úspěšně napadne CDN a že někdo napadne můj server. Navíc i v případě napadení toho skriptu v CDN se ten skript nanejvýš nespustí, protože nebude sedět jeho hash.