跳到主要内容

宜搭平台安全公告:警惕第三方CDN资源劫持

发布日期:2025-08-28

风险描述

近期发现部分开发者通过 loadScript 动态加载第三方 CDN 资源(如 cdn.bootcdn.netcdn.jsdelivr.net),存在被黑灰产劫持至非法网站的风险。攻击者可能通过 DNS 劫持、资源污染等方式篡改脚本内容,导致用户数据泄露或页面跳转异常。

受影响场景

  • 使用非官方 CDN 引入开源库(如 ECharts、jQuery)。
  • 动态加载未校验的第三方 JS/CSS 资源。

立即检查并禁用高风险 CDN:

自查并禁止加载 cdn.bootcdn.netcdn.jsdelivr.netunpkg.com 等非官方 CDN 资源。

类似如下代码:

呼吁各位开发者搭建在应用搭建中,使用正规渠道的安全资源引用,避免影响业务安全及正常使用。

宜搭安全

2025.08.28

Copyright © 2025钉钉(中国)信息技术有限公司和/或其关联公司浙ICP备18037475号-4