Los CDN aceleran la carga de sitios web al permitir el almacenamiento en caché de las bibliotecas de JavaScript de uso frecuente como jquery. ¿Cómo sabemos si han modificado el javascript antes de servirlo a mis clientes?
Por ejemplo, He comparado el hash de jquery.js y he verificado que coincide con el hash en el sitio web oficial. Luego inserto el enlace en mi página web. Dos semanas después, el CDN lo reemplaza con una copia maliciosa con un registrador de teclas integrado. Cuando un cliente visita mi página web, el script malicioso se descarga y registra todas las entradas y las publica en su servidor.
¿Puedo usar una biblioteca como Crypto.JS para verificar la suma de comprobación md5 de un script antes de ejecutarlo? Esto se debe hacer en javascript, ya que el exploit funciona en el lado del cliente.