事件背景
BootCDN 曾是国内较受欢迎的开源 CDN 服务之一,提供了各种开源库的加速访问。然而,近年发生了一起“被卖投毒”事件,引起了开发者的广泛关注。
-
事件经过:
BootCDN 原本由上海盛邦安全技术有限公司(UPAI)运营,后来该公司决定出售该域名(bootcdn.net)。新的买家接手后,开始进行变更操作。 -
疑似“投毒”:
2024 年 3 月左右,有用户发现,BootCDN 加载的部分开源库被篡改,疑似加入了恶意代码,可能会影响使用该服务的网站安全性。具体的投毒方式可能涉及:
- 植入恶意脚本:可能用于劫持用户数据、挖矿或植入广告。
- 修改开源库内容:可能影响依赖该 CDN 的网站正常运行,甚至可能导致安全漏洞。
- 社区的反应
很多开发者开始提醒大家停止使用 BootCDN,并建议切换到可信赖的 CDN,如:cdnjs(Cloudflare 提供)、jsDelivr、国内镜像源(如七牛云、阿里云)等。
解决办法
将所有文件中使用的 BootCDN 替换掉,以下列出了所有关键位置。
位置1
路径:/dujiaoka/resources/views/common/install.blade.php
修改内容:
<script src="https://cdn.bootcss.com/jquery/2.1.4/jquery.min.js"></script>
修改为:
<script src="https://cdn.jsdelivr.net/npm/jquery@2.1.4/dist/jquery.min.js"></script>
位置2
路径:/dujiaoka/vendor/germey/geetest/src/views/geetest.blade.php
修改内容:
<script src="https://cdn.bootcss.com/jquery/2.1.0/jquery.min.js"></script>
修改为:
<script src="https://cdn.jsdelivr.net/npm/jquery@2.1.0/dist/jquery.min.js"></script>
位置3
路径:/dujiaoka/resources/views/vendor/geetest/geetest.blade.php
修改内容:
<script src="https://cdn.bootcss.com/jquery/2.1.0/jquery.min.js"></script>
修改为:
<script src="https://cdn.jsdelivr.net/npm/jquery@2.1.0/dist/jquery.min.js"></script>
位置4
路径:/dujiaoka/resources/views/luna/static_pages/buy.blade.php
修改内容:
<script src="https://cdn.bootcss.com/jquery/2.1.0/jquery.min.js"></script>
修改为:
<script src="https://cdn.jsdelivr.net/npm/jquery@2.1.0/dist/jquery.min.js"></script>
评论区