还在白嫖 CDN 和 数据统计？你的网站可能正在帮黑产“引流”赌球菠菜站

CDN 投毒现状：你的站点为何莫名‘瞬移’赌球站？

如果使用了某 CDN 加速 CSS 和 JS 加载，使用了某数字统计站的站点。
最近这段时间，别人每次访问你的站点时，有大概5%的几率，原来的正常JS和CSS里会被额外加入一段混淆后的JS代码。这个混淆后的代码会在特定时间在特定移动设备上，将用户跳转到风险网站，比如赌球博彩网站（马上世界杯了嘛）

其实这种供应链攻击在圈内早已屡见不鲜，比如之前我就提过的 《LNMP 一键安装包投毒事件》 《针对网站运维的供应链攻击投毒事件》《JS 加速服务投毒事件》，其手法如出一辙。

CDN 投毒恶意跳转代码是如何玩“隐身术”的？

混淆后的代码会检测运行环境和访问来源，如果发现有anaiytics分析代码，比如谷歌分析，百度站长，matomo，Umami，恶意代码会延迟跳转，以免被在统计数据中看出端倪，如果发现是登录的管理员，则完全不会运行。如果发现是电脑也不会跳转，如果发现启动了分析工具也不会跳转。

如何排查自己是否使用了有问题的CDN和统计：请自己谷歌统计 投毒 跳转菠菜，CSSCDN 投毒 跳转菠菜
我就不细说了，上次写太多，对方直接开盒找过来，先冒充某大厂，提出付费删帖，不成则开始各种威胁我

SEO 降权警报：为什么使用了投毒脚本会导致谷歌必应的不收录？

不要感觉自己没感觉就轻视，因为谷歌、必应对使用了这些JS和统计代码的站点都会做降权处理的，你的站点可能会直接在搜索结果里消失。有些站长发现自己站点莫名奇妙，谷歌，必应就不收录了，谷歌Ads审核也会不通过的原因就这这里。在谷歌和必应的眼中，是你站长故意引入了恶意代码，像我之前部署的那个‘香饽饽’外链页 一样沦为黑产割韭菜的工具。（幸亏当年谷歌自己拦截了索引，也没给我降权）

黑产之所以平时装好人免费给你提供服务，无非是盯上个人站长的流量，是为了在世纪杯欧洲杯期间做恶意跳转，让你白嫖2、3年，就是为了能在球赛期间赚个大的。

如何防御CDN投毒：一行代码开启 SRI，让投毒脚本彻底失效

如果你是用 CDN 加载 JS 代码，无论是美化用 CSS 还是统计 JS ，都要记得添加 integrity 属性，写死资源的哈希值，这样浏览器会校验文件哈希值，一旦内容被篡改，浏览器将拒绝加载。

简单版：使用在线工具

如果你只有几个固定的 JS 脚本，可以直接使用：

• 网站名称：srihash.org

• 操作：将你的 JS/CSS 的 URL 粘贴进去，点击生成。它会自动给你一段带 integrity 属性的代码。

进阶版：本地使用 OpenSSL 手动生成哈希值

使用原始的 .js 或 .css 文件，用 openssl 生成，这是最安全的方式，防止在线工具本身被劫持。直接在你的终端控制台里敲

# 生成 SHA-384 哈希值（384是目前推荐的算法）
cat your-file.js | openssl dgst -sha384 -binary | openssl base64 -A

生成哈希值后，你的 HTML 标签必须按以下格式书写。注意啊，crossorigin="anonymous" 是必不可少，否则跨域加载会失败。

<script src="https://cdn.example.com/js/main.js"
        integrity="sha384-这里填入生成的Base64哈希值"
        crossorigin="anonymous"></script>

<link rel="stylesheet" href="https://cdn.example.com/css/style.css"
      integrity="sha384-这里填入生成的Base64哈希值"
      crossorigin="anonymous">

一点额外提醒和碎碎念

• 动了JS和CSS后记得更新代码： 当你更新了 JS/CSS 内容后，文件的哈希值一定会变。记得同步更新 HTML 里的 integrity 字符串参数，否则你的网站样式就全乱了（浏览器会拦截不匹配的文件）。
• 对于核心功能脚本，如果有能力，可以加个简单的判断，如果 CDN 加载失败（被 SRI 拦截），自动回退，改为加载服务器本地的脚本。
• 如何排查自己是否使用了有问题的 CDN 和统计代码：请自己谷歌统计 投毒 跳转菠菜，CSS CDN 投毒 跳转菠菜
• 正所谓“免费的才是最贵的”，如果你也在用那些所谓的“永久免费加速服务”，还是长个心眼吧，要么自己本地化，要么就老老实实把校验做全了。防御供应链攻击注定是个持久战，最近被供应链投毒的案例可太多了。