使用完整性属性*专门用于官方 Bootstrap CDN* 不是多余的吗?
Isn't the use of the integrity attribute *specifically for official Bootstrap CDNs* superfluous?
我了解完整性属性的用途并引用:
[...] using CDNs also comes with a risk, in that if an attacker gains control of a CDN, the attacker can inject arbitrary malicious content into files on the CDN [...]
但说实话,在官方 Bootstrap CDN 的情况下,攻击者 "gain control of a CDN" 的可能性有多大:
https://maxcdn.bootstrapcdn.com
攻击者在任何时间长度内控制这 3 个 CDN 中的任何一个的可能性有多大?
我知道使用完整性属性通常是有意义的。但是官方 Bootstrap 使用的那 3 个 CDN 真的有意义吗?
The art of war teaches us to rely not on the likelihood of the enemy's not coming, but on our own readiness to receive him; not on the chance of his not attacking, but rather on the fact that we have made our position unassailable.
- Sun Tzu, ancient Chinese general
将安全依赖于敌人(在本例中为黑客)攻击您的资源的不愿意或无能是不明智的。你需要保证。如果您认为自己是安全的并且使用了额外的安全层是正确的,那么您正在使用该层,但是,如果您没有那个额外的层,那么您关于安全的声明将受到真正的考验。如果出于任何原因测试表明您错了,那对您和您的客户来说可能是灾难性的。
我了解完整性属性的用途并引用:
[...] using CDNs also comes with a risk, in that if an attacker gains control of a CDN, the attacker can inject arbitrary malicious content into files on the CDN [...]
但说实话,在官方 Bootstrap CDN 的情况下,攻击者 "gain control of a CDN" 的可能性有多大:
https://maxcdn.bootstrapcdn.com
攻击者在任何时间长度内控制这 3 个 CDN 中的任何一个的可能性有多大?
我知道使用完整性属性通常是有意义的。但是官方 Bootstrap 使用的那 3 个 CDN 真的有意义吗?
The art of war teaches us to rely not on the likelihood of the enemy's not coming, but on our own readiness to receive him; not on the chance of his not attacking, but rather on the fact that we have made our position unassailable.
- Sun Tzu, ancient Chinese general
将安全依赖于敌人(在本例中为黑客)攻击您的资源的不愿意或无能是不明智的。你需要保证。如果您认为自己是安全的并且使用了额外的安全层是正确的,那么您正在使用该层,但是,如果您没有那个额外的层,那么您关于安全的声明将受到真正的考验。如果出于任何原因测试表明您错了,那对您和您的客户来说可能是灾难性的。