目录

目前看到大公司的js都本地化存贮分发,但是总归有些需要使用在线应用这种方式,如何去防止js劫持等呢?

背景:

第三方js主要是分享、广告、站长分析、功能(jQuery),需要考量隐私、安全风险和第三方js可能的可用性问题。

解决办法:

https是防篡改必须;

消减影响措施为:通过将js放入iframes;采用csp策略防止xss;在主站通过脚本防止第三方js的document.write注入dom元素实现。

组件

https://github.com/snipsco/yett