DDoS攻击技术正在迅速发展。最新的基于Javascript的DDoS攻击有一个显著的特点:任何
浏览器设备都可能参与攻击,其潜在攻击规模几乎是无限的。
现代Web站点的大部分交互
都是Javascript,Javascript
脚本可以直接移植到HTML中,也可以从远程
服务器加载。
Javascript攻击主要发生在共享的Javascript脚本在第三方服务器上被
替换时,或者在
传输过程中被中间人替换。
对于被筛选服务器上替换的脚本,目前没有HTTP的相
关机制。然而,W3C已经提出了一种称为子资源完整性的
新功能,它使用哈希值来验证脚本。如果哈希值不匹配,浏览器可以阻止它
运行。
只有Chrome和Firefox是
支持孩子资源完整性的临时浏览器。
对于在传输过程中由中间人替换成恶意代码的脚本,唯一有用的
方法是完全
启用HTTPS。