（转）国内最大 IT 社区 CSDN 被挂马， CDN 可能是罪魁祸首

more like 最大内容农场

哈哈，抄码农博客，偷 GitHub 代码，挂钓鱼木马，csdn 这辈子有了。

好 6 的感觉

好似

卧槽这木马竟然 VT 上 0 查杀？？？？

那么作为我们普通站，应该如何防范这种 CDN 挂马呢？

@liuzimin #6 简单到复杂：

* 不用国产 CDN 。
* https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity
* https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

天天说别人的代码不安全

高啊，那个伪造 chrome 错误页面实在是高！

csdn 感觉就是垃圾堆，虽然偶尔能找到一些有用的，但大多数都是垃圾内容和广告，甚至被挂马，我都会把它认为是 CSDN 的官方 FEATURE

伪造 Chrome 错误页面这个操作 6 啊。

"CDN 可能是罪魁祸首？"
这个 title 起的有点误导了：误导 CDN 自己主观的问题； title 起的不够客观

在国内的小厂，每天 PV 也有过亿的量，前段时间机器内网被人攻陷，服务器提供下载的 JS 被注入代码，还好还在试水阶段就被发现，整个环境搞了一个月才清理干净，心有余悸。

供应链攻击的解法很简单。

不。外。链。脚。本。
如果外链就启用 hash 验证。

补充：

不使用 CDN 。

然后及时给自己的服务器/程序打补丁就行了

不得不说最近看到的钓鱼方式还真是挺有创造力的。
之前有让 win+r 复制粘贴代码过验证的
现在有伪造浏览器错误页面的

文章关于 web 的,我看懵了。
1. `analyzev.oss-cn-beijing.aliyuncs.com` 这个是 oss 自带的域名,跟 cdn 有什么关系?
2. 更让我好奇的是,analyzev 这个 bucket,是谁的,为什么 csdn 要用他做静态资源库访问? 没钱建个 bucket + cdn?

奇安客居然可以获取 oss 的访问记录,牛皮。

csdn ，cnblog 不都慢慢转收费会员了嘛，不是会员都只给看个开头。

这和 CDN 有啥关系