La mayoría de las aplicaciones modernas utilizan CDN para bibliotecas de terceros. Por ejemplo, digamos que uso xxxv2.min.js
de cdn.example.com/xxxv2.min.js
Todo está bien, hasta el día en que la compañía fue pirateada y su archivo min.js
fue secuestrado e inyectado algún tipo de script para obtener todas las cookies de usuario, como XSS.
Para no dejar la seguridad de mi aplicación en manos de otra persona (aunque sean compañías gigantes, ¡seguro que también son un objetivo más grande que yo para esos tipos malos!), puedo usar xxxv2.min.js
localmente, pero la compensación Es el rendimiento aquí.
¿Podemos crear algún tipo de lógica que básicamente aún use el CDN pero lo compare con la versión local del mismo con algún tipo de comparación de suma de comprobación o byte? ¿O es simplemente una exageración? ¿Cuál es la mejor manera de usar CDN de forma segura, sin confiar en los protocolos de seguridad del proveedor?