我监控(并记录到服务器)大多数用户错误在我们的flash游戏。我经常看到与尝试向跨域URL (通常是Facebook Graph API)发出请求有关的安全错误。对于这样的安全错误,响应的“最佳实践”是什么?我提前加载了一次Facebook策略文件,如下所示:
// allow images to be loaded from facebook and facebook's cdn's.
我们构建具有公共(非安全)区域和安全(通过HTTPS交付)区域的站点,并且我们使用jQuery库。例如,他们提到有人可能劫持DNS服务器,然后注入恶意修改的库,从而为不同的安全攻击打开了大门。现在,如果黑客可以通过Google CDN注入恶意代码,那么如果jQuery是从网站本身提供的,那么他可能也可以这样做,对吧?
google CDN似