如果網頁包含其他網域的腳本,則意味著此網頁的安全取決于其他域的安全。
包含來自其他網站的可執行內容是非常危險的。這就會將您站點的安全與其他站點的安全綁在一起。
示例:請考慮以下 script 標簽。
<script src="http://www.example.com/js/fancyWidget.js"/>
www.example.com 以外的網站中,則該站點將依賴 www.example.com 來運行正確的非惡意代碼。如果攻擊者可以入侵 www.example.com,則他們可以篡改 fancyWidget.js 的內容,損害站點安全。例如,他們可以將代碼添加到 fancyWidget.js 中,竊取用戶的機密數據。
[1] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Insufficient Process Validation
[2] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Risky Resource Management - CWE ID 094