jingjingxyk
commented
3 weeks ago 看到第一眼认为是供应链投毒,详见这个: https://v2ex.com/t/1056428
经过下面的验证,排除供应链投毒
Open lvzhenbo opened 3 weeks ago
jingjingxyk
commented
3 weeks ago 看到第一眼认为是供应链投毒,详见这个: https://v2ex.com/t/1056428
经过下面的验证,排除供应链投毒
jingjingxyk
commented
3 weeks ago 验证脚本
curl -LSso /tmp/jquery.min.js https://code.jquery.com/jquery-2.1.4.min.js && md5sum /tmp/jquery.min.js
curl -LSso /tmp/baomitu-jquery.min.js https://lib.baomitu.com/jquery/2.1.4/jquery.min.js && md5sum /tmp/baomitu-jquery.min.js
curl -LSso /tmp/cloudflare-jquery.min.js https://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.4/jquery.min.js && md5sum /tmp/cloudflare-jquery.min.js
curl -LSo /tmp/fastly-jsdelivr-jquery.min.js https://fastly.jsdelivr.net/npm/jquery@2.1.4/dist/jquery.min.js && md5sum /tmp/fastly-jsdelivr-jquery.min.js
curl -LSo /tmp/google-jquery.min.js https://ajax.googleapis.com/ajax/libs/jquery/2.1.4/jquery.min.js && md5sum /tmp/google-jquery.min.js
| 验证结果结果:
|
源主机 | hash(md5) | 源地址 |
|---|---|---|---|
| code.jquery.com | f9c7afd05729f10f55b689f36bb20172 | https://code.jquery.com/jquery-2.1.4.min.js | |
| ajax.googleapis.com | 4a356126b9573eb7bd1e9a7494737410 | https://ajax.googleapis.com/ajax/libs/jquery/2.1.4/jquery.min.js | |
| fastly.jsdelivr.net | 4a356126b9573eb7bd1e9a7494737410 | https://fastly.jsdelivr.net/npm/jquery@2.1.4/dist/jquery.min.js | |
| cdnjs.cloudflare.com | 4a356126b9573eb7bd1e9a7494737410 | https://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.4/jquery.min.js | |
| lib.baomitu.com | 4a356126b9573eb7bd1e9a7494737410 | https://lib.baomitu.com/jquery/2.1.4/jquery.min.js |
结论并没啥问题
jingjingxyk
commented
3 weeks ago 
lvzhenbo
commented
3 weeks ago 所以我觉得应该删除涉嫌修改源文件的cdn,因为这就不是cdn了
jingjingxyk
commented
3 weeks ago 所以我觉得应该删除涉嫌修改源文件的cdn,因为这就不是cdn了
@lvzhenbo 查看验证结果,并没有发现 修改源文件的事情 , 应该是用了不同时间的发版文件
公开的资源中,没发现可替代的地址
lvzhenbo
commented
3 weeks ago 嗯。。。我看到了jq官网少了一行这个
//# sourceMappingURL=jquery.min.map
https://lib.baomitu.com/jquery/2.1.4/jquery.min.js https://code.jquery.com/jquery-2.1.4.min.js 现在资源加载可以添加hash,如果文件修改过hash不一致会被浏览器拦截