我一直在阅读有关服务人员的信息,以使用它的一些功能使我的应用程序更加快速和可靠。当我看到服务工作者和持久存储使 webapp 拥有所有原生应用程序功能的可能性时,我感到很兴奋,但我也有这个想法。
如果有人想制作僵尸网络怎么办?他们只是将他们的网站链接发送给一些用户,仅此而已,服务人员被安装在世界各地的许多浏览器中。现在,网站所有者可以用这个僵尸网络做很多事情,比如进行 ddos 攻击、加密挖掘等。我认为它甚至可以让黑客更容易利用一些浏览器漏洞。
我错过了什么吗?
问问题
105 次
1 回答
1
Web 和浏览器安全模型有许多措施来防止或限制滥用。
1)跨域资源共享 (CORS)是一种 Web 安全功能,可限制或使网站/服务人员难以对其他域进行 DDOS 攻击。
2) Service Worker 的最长运行时间为五分钟(在 Chrome 中,但其他浏览器应该有类似的限制)。五分钟后,SW 将被终止,并且用户必须触发一个事件,然后才能重新激活 service worker。
3) 大多数浏览器使用安全浏览来阻止对恶意网站的访问,因此可以快速全局禁用。
这一切都假设“他们只是将他们的网站链接发送给某些用户”很容易实现。如今,电子邮件垃圾邮件过滤器非常好,而 SMS 价格昂贵,因此很难将 PWA 提供给大量用户。
于 2020-05-11T13:45:27.857 回答