Polyfill.io 是恶意的:https://dev.to/snyk/polyfill-supply-chain-attack-embeds-malware-in-javascript-cdn-assets-55d6
我现在需要找到我的代码库:
我使用:grep -r "polyfill.io" 快速找到明显的内容,并检查了网站的网络流量。
网络流量并不是查找每个 Polyfill 的详尽方法。
如何高效检查:
您可以使用 Zaproxy 扫描网站是否使用了 polyfill[.]io 域。无需安装 ZAP,只需运行一个衬垫即可使用 docker 容器运行检查:
docker run -t zaproxy/zap-stable zap.sh -cmd -addoninstall pscanrulesBeta -zapit https://www.example.com/
您可以指定任意数量的 URL: -zapit https://www.example1.com -zapit http://example2.com/
参见 https://www.zaproxy.org/blog/2024-06-27-polyfill.io-script-detection/