今天日常调试程序抓包过程中突然看到非我司域名的请求,顿生疑惑。
前面三个请求的域名还是什么 www.cdnaccelerationcache.com 看起来似乎是个 cdn ,后面什么 winners.club 看着就明显不对劲了,再展开看响应还是什么“以德会友 智者博弈”。。。一看就不是什么正经东西。
马上搜了前端和移动端的代码都没找到相关域名,于是又到抓包软件重新捋了一下,最后发现居然是 vconsole.min.js 被植入。
前端开发同学在使用 vconsole 的时候使用了 bootcdn 的地址: https://cdn.bootcdn.net/ajax/libs/vConsole/3.12.1/vconsole.min.js 。
今天正好我抓包的时候被我抓到了,不知道是中间运营商干的还是 bootcdn 被污染了。
真是曹蛋,再次提醒,项目里不要直接通过第三方 URL 引用外部 JS 。
下面附抓包截图
PS:抓包时的网络运营商是四川移动,用的还是企业专线。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.