javascript - 即使我的 domain.com 主机记录没有“evilsub”条目,网络服务器上如何存在 http://evilsub.domain.com/linkpage.html?
问题描述
谷歌搜索控制台最近让我知道我有一个“被黑:URL 注入”安全问题。错误消息包括指向页面的链接。这些格式为:
http://weirdsubdomain.example.com/linkpage.html
- 我用 curl 和 wget 调用了这个页面,页面存在并由网络服务器返回
- 我的网站托管在
https://example.com
(注意“https”) - 我的网站是一个静态 jekyll 网站,位于 Github 页面上
- 垃圾邮件/黑客子域页面是“http”(不是“https”)
- 我的注册商上的主机记录没有“weirdsubdomain”条目
我知道我可能保留了一个带有<script>
标签的旧页面,该标签很可能会引入旧版本的 jquery,或者那里很可能有一些旧的 javascript,可以通过将 javascript 引入来控制人们的浏览器一些类似漏洞的表单输入。
我不明白,有人如何让 DNS 解析和路由我域的子域?这似乎是服务器端的事情?
非常欢迎所有建议和信息,因为我开始尝试清理或禁用我的 javascript:-)
2020 年 4 月 13 日更新
我查看了我的主机设置,其中包括*.example.com
.
我的理解是这个通配符配置让另一个 Github 用户将子域应用到我的域。我不确定我是否正确理解了这一点,但是如果我的注册商有一个主机记录,它将 *.example 指向 Github 页面的 IP 地址,并且我在我的 repo 的根目录中有一个 CNAME 文件,其中包含“example.com " 然后另一个 Github 用户可以使用“subdomain.example.com”在他们的目录中放置一个 CNAME,DNS 将相应地路由请求。
这是真的?这似乎很疯狂,所以很可能不是真的:-)
解决方案
推荐阅读
- excel - Excel:使用时间的 If 语句
- swift - 具有相关类型和工厂模式的协议?
- python - 如何使用 python.logging 模块列出所有现有的记录器
- ios - iPad的数字键盘?
- javascript - 指向同一数组的指针
- python - 如何抓取 JavaScript 呈现的 HTML
- javascript - Filereader.Onload 过早触发
- swift - 如何使用 Alamofire 将 CURL 请求转换为 Swift?
- javascript - 将字符串附加到 URL 的书签
- azure - 如何以编程方式创建 MS Flow/Azure Logic App 连接?