我一直在阅读关于服务工作者的文章,以使用它的一些功能,让我的应用更加快速和可靠。当我通过服务工作者和持久存储使webapp拥有所有原生app功能的可能性时,我很兴奋,同时我也有这样的想法。
如果有人想做一个僵尸网络呢?他们只要把自己的网站链接发给一些用户,仅此而已,服务工就会被安装在全世界的一些浏览器中。现在,网站所有者可以用这个僵尸网络做很多事情,比如进行ddos攻击,加密挖矿等等。我想这甚至可能会让黑客更容易利用一些浏览器的漏洞。
我是不是错过了什么?
网络和浏览器的安全模型有一些措施来防止或限制滥用。
1) 跨源资源共享(CORS) 是一种限制或使网站服务工作者难以对其他域进行DDOS攻击的网络安全功能。
2)服务工作者有一个 最多5分钟 (在Chrome浏览器中,但其他浏览器应该有类似的限制)。五分钟后,SW将被杀死,用户必须触发一个事件才能重新激活服务工作者。
3) 大多数浏览器使用 安全浏览 来阻止对恶意网站的访问,这样就可以快速在全球范围内禁用。
这一切都假设 "他们只是把他们的网站链接发给一些用户 "是很容易完成的。现在的电子邮件垃圾邮件过滤器真的很好,而短信又很贵,所以向大量用户发送PWA会很困难。