Si suppone che un CDN consenta ai siti di fare riferimento a una risorsa remota disponibile pubblicamente (ad esempio uno script, un foglio di stile, un font, ecc.) piuttosto che incorporarla autonomamente e consentire al browser di memorizzarla nella cache. Se il CDN è compromesso, allora la risorsa è così.
Per esempio, diciamo che il CDN per Bootstrap è compromesso e qualcuno lo sostituisce con una versione maligna che include un keylogger. Ogni sito che fa riferimento alla CDN scaricherà quindi bootstrapThatTotallyHasntBeenCompromised.min.js ed esporterà i propri utenti a un keylogger.
Nell'esempio sopra, gli hacker hanno caricato una nuova versione che ha generato un avviso al caricamento della pagina con un messaggio di propaganda. In questa particolare istanza, non è così grave (vedi la striscia XKCD nella parte inferiore dell'articolo), ma potrebbe essere stato un lotto peggio.
EDIT: una cosa che potrebbe aiutare a mitigare questa è l'integrità delle risorse secondarie (SRI). Questo è solo un termine di fantasia per fornire un hash di checksum per la risorsa; se l'hash della risorsa scaricata non corrisponde all'hash pubblicato dalla CDN, il browser la bloccherà. Troy Hunt ha un po 'più di dettagli qui .
Ovviamente, l'SRI non aiuta affatto se il CDN deliberatamente carica una versione maligna e pubblica l'hash per quello, ma questo è completamente diverso.