1
JGideon 2018-08-07 12:20:25 +08:00 1
cdn 回源用的是 http ?
|
2
zhuowenli 2018-08-07 12:22:20 +08:00 1
之前遇到过 CDN 跟 CDN 服务器之间同步没有走 HTTPS,然后在同步的过程中被篡改的。
|
3
stevenhawking 2018-08-07 13:04:36 +08:00 1
记得国外有个 Jsdelivr,在中国跟网宿合作的。
但是,不久前被污染了 |
4
Livid MOD 建议源站只监听 https 443 端口,然后只允许 CDN 通过 https 方式回源。
|
5
wsad001002 2018-08-07 13:09:54 +08:00 via iPhone 1
不清楚楼主的具体拓扑,但是我司使用 akamai 的 dsa( https 加速)是需要在我司的服务器上安装一套证书私钥(origin-www.example.com),在 akamai 上也安装一套证书私钥(www.example.com)。用户访问 www.example.com 的时候其实是与 akamai 的 edge 服务器建立 https 连接,然后 akamai 将数据 downgrade 成 http,然后内部做四七层转发或者其他自定义缓存控制,然后再与我司 origin-www.example.com 服务器建立 https 服务。至少与 akamai 的工程师确认过,数据在他们内部就是透明的。其实也可以理解,如果数据在 cdn 处不透明,他们无法解密 https 数据流的话,那么 cdn 也无法建立缓存和策略控制。目测是 cdn 的缓存有问题,被污染了,所以,换个靠谱的 cdn 吧…
|
6
miyuki 2018-08-07 13:24:03 +08:00 via Android 1
cdn 用 http 回源被劫持了
|
7
bequt 2018-08-07 13:34:09 +08:00
@stevenhawking SRI 不知道有没有用。现在在用 jsdelivr,感觉还行吧。。
国内都不知道用什么 cdn 了。 |
9
miyuki 2018-08-07 14:48:16 +08:00 via Android
|
10
mywaiting 2018-08-07 15:08:02 +08:00
SRI 请了解一下 https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
当然了,污染仍然是存在的,建议只用 HTTPS 回源 |