現(xiàn)代網(wǎng)站的大部分交互都來(lái)自于JavaScript。網(wǎng)站通過(guò)直接向HTML中添加JavaScript代碼或者通過(guò)HTML元 素<script src=”">從遠(yuǎn)程位置加載JavaScript實(shí)現(xiàn)交互功能。JavaScript可以發(fā)出HTTP(S)請(qǐng)求，實(shí)現(xiàn)網(wǎng)頁(yè)內(nèi)容異步加載，但它也 能將瀏覽器變成攻擊者的武器。例如，下面的代碼可以向受攻擊網(wǎng)站發(fā)出洪水般的請(qǐng)求：

function imgflood() {  
  var TARGET = 'victim-website.com'
  var URI = '/index.php?'
  var pic = new Image()
  var rand = Math.floor(Math.random() * 1000)
  pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflood, 10)

上述腳本每秒鐘會(huì)在頁(yè)面上創(chuàng)建10個(gè)image標(biāo)簽。該標(biāo)簽指向“victim-website.com”，并帶有一個(gè)隨機(jī)查詢參數(shù)。如果用戶訪問(wèn) 了包含這段代碼的惡意網(wǎng)站，那么他就會(huì)在不知情的情況下參與了對(duì)“victim-website.com”的DDoS攻擊，如下圖所示：

許多網(wǎng)站都使用一套通用的JavaScript庫(kù)。為了節(jié)省帶寬及提高性能，它們會(huì)使用由第三方托管的JavaScript庫(kù)。jQuery是 Web上最流行的JavaScript庫(kù)，截至2014年大約30%的網(wǎng)站都使用了它。其它流行的庫(kù)還有Facebook SDK、Google Analytics。如果一個(gè)網(wǎng)站包含了指向第三方托管JavaScript文件的script標(biāo)簽，那么該網(wǎng)站的所有訪問(wèn)者都會(huì)下載該文件并執(zhí)行它。如 果攻擊者攻陷了這樣一個(gè)托管JavaScript文件的服務(wù)器，并向文件中添加了DDoS代碼，那么所有訪問(wèn)者都會(huì)成為DDoS攻擊的一部分，這就是服務(wù) 器劫持，如下圖所示：

這種攻擊之所以有效是因?yàn)镠TTP中缺少一種機(jī)制使網(wǎng)站能夠禁止被篡改的腳本運(yùn)行。為了解決這一問(wèn)題，W3C已經(jīng)提議增加一個(gè)新特性子資源一致性。該特性允許網(wǎng)站告訴瀏覽器，只有在其下載的腳本與網(wǎng)站希望運(yùn)行的腳本一致時(shí)才能運(yùn)行腳本。這是通過(guò)密碼散列實(shí)現(xiàn)的，代碼如下：

<script src="https://code.jquery.com/jquery-1.10.2.min.js" 
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg=" 
crossorigin="anonymous">

密碼散列可以唯一標(biāo)識(shí)一個(gè)數(shù)據(jù)塊，任何兩個(gè)文件的密碼散列均不相同。屬性integrity提供了網(wǎng)站希望運(yùn)行的腳本文件的密碼散列。瀏覽器在下載 腳本后會(huì)計(jì)算它的散列，然后將得出的值與integrity提供的值進(jìn)行比較。如果不匹配，則說(shuō)明目標(biāo)腳本被篡改，瀏覽器將不使用它。不過(guò)，許多瀏覽器目 前還不支持該特性，Chrome和Firefox正在增加對(duì)這一特性的支持。

中間人攻擊是攻擊者向網(wǎng)站插入惡意JavaScript代碼的最新方式。在通過(guò)瀏覽器訪問(wèn)網(wǎng)站時(shí)，中間會(huì)經(jīng)過(guò)許多節(jié)點(diǎn)。如果任意中間節(jié)點(diǎn)向網(wǎng)頁(yè)添加惡意代碼，就形成了中間人攻擊，如下圖所示：

加密技術(shù)可以徹底阻斷這種代碼注入。借助HTTPS，瀏覽器和Web服務(wù)器之間的所有通信都要經(jīng)過(guò)加密和驗(yàn)證，可以防止第三者在傳輸過(guò)程中修改網(wǎng)頁(yè)。因此，將網(wǎng)站設(shè)為HTTPS-only，并保管好證書(shū)以及做好證書(shū)驗(yàn)證，可以有效防止中間人攻擊。

在回復(fù)網(wǎng)友評(píng)論時(shí)，Nick指出，SRI和HTTPS是相輔相成的，二者同時(shí)使用可以為網(wǎng)站提供更好的保護(hù)。除了上述方法外，采用一些防DDoS安全產(chǎn)品來(lái)加強(qiáng)防護(hù)也是一種選擇。