前言

jQuery源码中有赌博网站?

起因是公司发的一份自查文件,某银行在日常安全运营过程中发现在部分jQuery源码中存在赌博和黄色网站链接。

链接分为好几个:

  • www.cactussoft.cn
  • blindsignals.com
  • www.planeart.cn/?p=877

如果你的代码中使用了jQuery或者间接使用了jQuery,请最好自查一下。

不要以为只有从网上随便抄来的jQuery源码才会存在这个问题,正常的jQuery源码也可能有,比如阿里的CDN上的jQuery源码中就有。

自查jQuery发现存在问题,追溯至阿里的CDN

在如今ReactVueAngular占据前端主流的情况下,仍有大量的网站使用jQuery

不过因为我现在做的项目比较新,并且使用React,所以以为这份自查文件跟我完全没关系。

只是因为以前见识过有人在开源js代码中埋挖矿的代码,所以谨慎起见还是查了查,没想到我还真的查出了点东西。

自查步骤:

  • 第一步,我在代码中全局搜索上面三个网址,没发现问题,果然符合预期。
  • 第二步,为了保险起见,我搜了node_modules里的文件,还是没有发现问题,符合预期。
  • 第三步,全局搜索jQuery这个字符串,因为据自查文件描述这个问题主要存在于jQuery中。项目中除了single-spa源码对jQuery做了兼容处理,其他代码一切正常,没有引用jQuery的地方。

只是有个地方有点奇怪,我在一个奇怪的demo.html中,发现了下面这行引用:

<!-- jQuery -->

<script src="https://a1.alicdn.com/oss/uploads/2018/12/26/7bfddb60-08e8-11e9-9b04-53e73bb6408b.js"></script>

上面标注了一个jQuery,下面是一个阿里的CDN的地址。

那么这个引用里面是个jQuery?查一查吧。

打开这个js,搜索三个网址,最后真的找到了一个,代码如下:

// Based off of the plugin by Clint Helfers, with permission.

// http://blindsignals.com/index.php/2009/07/jquery-delay/

delay: function( time, type ) {

	time = jQuery.fx ? jQuery.fx.speeds[ time ] || time : time;

	type = type || "fx";

	return this.queue( type, function( next, hooks ) {

		var timeout = setTimeout( next, time );

		hooks.stop = function() {

			clearTimeout( timeout );

		};

	});

},

麻了,是个注释,但是这个网站真的存在,还是个中文站点呢。

这个网站虽然不是赌博网站,但是怎么看都不是那么正经,并且和jQuery完全没关系。

然后我又查了一下这个demo.html的来源,来自阿里的矢量图标库网站:https://www.iconfont.cn/,做前端的对这个站点应该非常熟悉。

然后这个demo.html就是下载个人项目的图标库后的演示用例。

正常情况下应该是用不到这个东西的,所以直接删掉就好了,不过阿里有没有别的地方用到这个CDN文件就不好说了。

思考

这次我们在阿里CDN上的jQuery库中都能发现赌博网站的链接。

虽然它是个注释,但是万一它不是呢?

毕竟这三个网址中可能就这个温和点,另外两个据描述直接重定向到黄色网站和赌博网站。

这个温和点的其实也没有那么温和,当这个jQuery文件被一些信誉度较高的站点,比如政府站点引用后,即使是注释里的网址可能也会被一些搜索引擎解析后用于提高这个垃圾网站的信誉度。

这个事情其实只是冰山一角而已,采用的方式虽然隐蔽但也总算有迹可循,之前爆出的js挖矿代码,更加隐蔽。

不谈这种引用外链的方式,对现在的前端而言,node_modules更是一个大黑盒。

主流的React这类库可能安全性还行,毕竟一天到晚读源码背八股文面试的朋友那么多,所以没什么问题。

像很多依赖库都是一两个人维护,就算他们不使坏,依赖库的依赖库呢?

这么庞大的依赖库链,实际上隐藏着的是巨大的安全隐患。

像上面提到的这个网站,你看链接里有个2009,可见这玩意并不年轻,一直默默地在每个jQuery网站中运行,并没有被人发现。

那么更多的这种代码是不是已经存在于各种各样的网站中了呢?

无脑复制粘贴的前端那么多,他们甚至都不愿意读一下自己复制的代码,更何况审查依赖库?

如果今天阿里这个CDN里面埋的是个挖矿代码,那么我们的讨论风格还会这么轻松有趣吗?

想了想,答案是:更加有趣了。O(∩_∩)O

jQuery源码中的赌博网站的更多相关文章

  1. Jquery源码中的Javascript基础知识(一)

    jquery源码中涉及了大量原生js中的知识和概念,文章是我在学习两者的过程中进行的整理和总结,有不对的地方欢迎大家指正. 本文使用的jq版本为2.0.3,附上压缩和未压缩版本地址: http://a ...

  2. jquery源码中noConflict(防止$和jQuery的命名冲突)的实现原理

    jquery源码中noConflict(防止$和jQuery的命名冲突)的实现原理 最近在看jquery源码分析的视频教学,希望将视频中学到的知识用博客记录下来,更希望对有同样对jquery源码有困惑 ...

  3. jQuery源码中的“new jQuery.fn.init()”什么意思?

    所有文章搬运自我的个人主页:sheilasun.me 引子 最近打算试试看看jQuery的源码,刚开个头就卡住了.无论如何都理解不了jQuery源码入口部分中的 return new jQuery.f ...

  4. Jquery源码中的Javascript基础知识(三)

    这篇主要说一下在源码中jquery对象是怎样设计实现的,下面是相关代码的简化版本: (function( window, undefined ) { // code 定义变量 jQuery = fun ...

  5. Jquery源码中的Javascript基础知识(二)

    接上一篇,jquery源码的这种写法叫做匿名函数自执行 (function( window, undefined ) { // code })( window ); 函数定义了两个参数window和u ...

  6. 关于jQuery源码中(function(window,undefined){//dosomething()})(window)写法解释

    一.首先是最常见的闭包 (Closure) 范式自执行函数的写法,这里用匿名函数封装(构造块级作用域),避免了匿名函数内部的代码与外部之间发生冲突(如使用了相同的变量名). (function() { ...

  7. jQuery 源码中的 camelCase

    先看一下源码 //65-72行 // Matches dashed string for camelizing //匹配连字符 ‘-’ 和其后的第一个字母或数字,如果是字母,则替换为大写,如果是数字, ...

  8. jquery源码中的(function(window, undefined){})(window)【转】

    (function( window, undefined ) {})(window);这个,为什么要将window和undefined作为参数传给它? (function( $, undefined ...

  9. Jquery源码中的Javascript基础知识(四)— jQuery.fn.init方法

    $() 即调用了jQuery.fn.init方法 jQuery = function( selector, context ) { return new jQuery.fn.init( selecto ...

随机推荐

  1. javascript-jquery插件

    1.jquery创建插件 jQuery.extend({插件名:函数体,插件名:函数体}): html部分 <div id="div1">开始动画</div> ...

  2. JAVA复习总体大纲

    1 java基础. [1].变量--- 数据类型 变量名=值; 数据类型: 1.基本数据类型. byte[1字节] short[2字节] int[4字节] long[8字节] float[4字节] d ...

  3. the Agiles Scrum Meeting 11

    会议时间:2020.4.20 20:00 1.每个人的工作 在这次例会上,我们对上周完成的工作进行了总结. 本周已完成的工作 个人结对项目增量开发组 tq: 创建广播功能 修复纯英文数字可能溢出bug ...

  4. 2021.10.26考试总结[冲刺NOIP模拟16]

    T1 树上的数 \(DFS\)一遍.结构体存边好像更快? \(code:\) T1 #include<bits/stdc++.h> using namespace std; namespa ...

  5. CodeForces-1076E Vasya and a Tree

    CodeForces - 1076E Problem Description: Vasya has a tree consisting of n vertices with root in verte ...

  6. 攻防世界 杂项 4.something_in_image

    这是原题 我这里使用编辑器打开,一看乱码也挺多的,于是想了想ctrl+f搜索一下flag关键字吧,结果答案出来了(flag不少,多搜索几次) Flag{yc4pl0fvjs2k1t7T}

  7. createContext 你用对了吗?

    目录 前言 性能问题的根源 问题1(整体重复渲染):Provider组件包裹的子组件全部渲染 问题2(局部重复渲染):使用useContext导致组件渲染 解决方案 解决问题1 解决问题2 参考 前言 ...

  8. Codeforces 1009E Intercity Travelling | 概率与期望

    题目链接 题目大意: 一个人要从$A$地前往$B$地,两地相距$N$千米,$A$地在第$0$千米处,$B$地在第$N$千米处. 从$A$地开始,每隔$1$千米都有$\dfrac{1}{2}$的概率拥有 ...

  9. MarkdownPad2弹窗显示HTML Rendering Error(HTML 渲染错误)的解决办法

    MarkdownPad2弹窗显示HTML Rendering Error(HTML 渲染错误)的解决办法 我在打开.md文件的时候,出现以下错误: 解决方式:下载Awesomium SDK并安装,重启 ...

  10. Java日期API

    JDK8之前日期时间API java.util.Date类 表示特定的瞬间,精确到毫秒 构造器: Date():使用无参构造器创建的对象可以获取本地当前时间. Date(long date) 常用方法 ...