宜搭平台安全公告:警惕第三方CDN资源劫持
发布日期:2025-08-28
风险描述
近期发现部分开发者通过 loadScript 动态加载第三方 CDN 资源(如 cdn.bootcdn.net、cdn.jsdelivr.net),存在被黑灰产劫持至非法网站的风险。攻击者可能通过 DNS 劫持、资源污染等方式篡改脚本内容,导致用户数据泄露或页面跳转异常。
受影响场景
- 使用非官方 CDN 引入开源库(如 ECharts、jQuery)。
- 动态加载未校验的第三方 JS/CSS 资源。
立即检查并禁用高风险 CDN:
自查并禁止加载 cdn.bootcdn.net、cdn.jsdelivr.net、unpkg.com 等非官方 CDN 资源。
类似如下代码:
呼吁各位开发者搭建在应用搭建中,使用正规渠道的安全资源引用,避免影响业务安全及正常使用。
宜搭安全
2025.08.28
本文档对您是否有帮助?