La maggior parte delle applicazioni moderne utilizza la CDN per le librerie di terze parti. Ad esempio, supponiamo che io utilizzi xxxv2.min.js
da cdn.example.com/xxxv2.min.js
Tutto è buono, fino al giorno in cui la società è stata compromessa e il loro file min.js
è stato violato e inserito una sorta di script per ottenere tutti i cookie dell'utente come XSS.
Per non lasciare la sicurezza della mia applicazione sulla mano di qualcun altro (anche se sono aziende giganti, di sicuro sono anche più bersagliati di me per quei cattivi!), posso usare xxxv2.min.js
localmente ma il trade off è spettacolo qui.
Possiamo creare una sorta di logica che in pratica utilizza ancora il CDN ma lo confronta con la versione locale di esso con una sorta di checksum o confronto di byte? O è semplicemente eccessivo? Qual è il modo migliore di utilizzare la CDN in modo sicuro, senza fare affidamento sui protocolli di sicurezza del fornitore?