宜搭平台安全公告:警惕第三方CDN资源劫持
发布日期:2025-08-28
风险描述
近期发现部分开发者通过 loadScript 动态加载第三方 CDN 资源(如 cdn.bootcdn.net、cdn.jsdelivr.net),存在被黑灰产劫持至非法网站的风险。攻击者可能通过 DNS 劫持、资源污染等方式篡改脚本内容,导致用户数据泄露或页面跳转异常。
受影响场景
- 使用非官方 CDN 引入开源库(如 ECharts、jQuery)。
- 动态加载未校验的第三方 JS/CSS 资源。
立即检查并禁用高风险 CDN:
自查并禁止加载 cdn.bootcdn.net、cdn.jsdelivr.net、unpkg.com 等非官方 CDN 资源。
类似如下代码:
呼吁各位开发者搭建在应用搭建中,使用正规渠道的安全资源引用,避免影响业务安全及正常使用。
宜搭安全
2025.08.28
This doc is generated using machine translation. Any discrepancies or differences created in the translation are not binding and have no legal effect for compliance or enforcement purposes.
本文档对您是否有帮助?