场景是这样的: 网站的主要部分在一台服务器上。所有流量都通过 https。我无法控制这台服务器。
主题使用来自另一台服务器的 css 文件和图像。也通过 https。我可以完全控制此服务器。
如果 css 文件和图像通过 http 传输,主站点有多脆弱(如何以及为什么)?我只询问 css 和图像。
我不知道有多相关,但服务器是 Apache,语言是 PHP。
----------------编辑------------
到目前为止,“中间人”攻击可以更改 css 从而隐藏我的内容、引入新图像并添加更多文本。
但是可以不创建实时链接,或者添加js...
Here是 symcbean 发起的关于这个主题的很好的讨论。
最佳答案
任何未加密的 HTTP 连接都可能被中间人拦截和修改。这意味着,您通过 HTTP 连接检索的任何资源都是不可信的;无法确认是否为原版资源。这意味着攻击者可能会在您的页面中包含您不打算包含的资源。
如果是 CSS 文件,则可以在您的网站上更改内容(display: none
, content: "Please go to example.com and enter your password"
) ,在图像的情况下可能会引入漏洞利用(通过有缺陷的图像解码客户端),在 Javascript 的情况下可能会注入(inject)完全任意的行为(例如将所有击键发送到第 3 方服务器)。
关于css - 安全性 - 通过 http 或 https 的 css 文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33520431/