谷姐:我们都是谷歌迷
We are all Google fans

在用alist的朋友记得后台里面删掉那个供应链投毒的polyfill-terryxu

Rate this post

用户后台登录 -》 设置 -》全局-》自定义头部 ,把polyfill的链接删了就行
script src="https://polyfill.io/v3/polyfill.min.js"

看到官方github 已经修过了,但是版本还没发新的,暂时把链接删了就行

https://github.com/alist-org/alist/commit/33be44adad6a833cdf5df749d21da303e48585a7

热议
2楼 DanielSSLYD 昨天22:08

有这个会怎样?

3楼 acg88 昨天22:10

谢谢,已去掉

4楼 larry 昨天22:14

有这个会怎样?

你的用户访问会随机跳转到黄赌毒网站.

5楼 zixi 昨天22:20

有这个会怎样?

被跳转呗,至于跳哪就不知道了

6楼 随波逐流 昨天22:46

昨天刚装的

7楼 千牛 昨天22:48

之前好像就因为这个拉取慢,影像加载速度,我就已经删了这个了
主要就是拿来做浏览器兼容的,所以删了也没事

8楼 宋喆 昨天22:50

一开始就删了

9楼 bidg 昨天23:03

咦,自定义里面是空的,是不是就不管它?

10楼 iyzx 昨天23:18

没事,pollyfill.io域名已经被clientHold了,在这里感谢下老外

12楼 iyzx 昨天23:36

关键时候还得洋大人出手啊
其它呢,有没有办法也举报给洋大人来处理?
...

这个是老外的项目,所以关注的人多,不过staticfile和bootcdn的域名也已经被标记了。投毒事件在隔壁挺火,可以去瞅瞅
参考https://sansec.io/research/polyfill-supply-chain-attack

https://web.archive.org/web/20240229113710/https://github.com/polyfillpolyfill/polyfill-service/issues/2834

13楼 caddy 5小时前

这个是老外的项目,所以关注的人多,不过staticfile和bootcdn的域名也已经被标记了。投毒事件在隔 ...

我以为紫田这货只搞了国内的项目

其实这手法就和以前,花钱把用户量足够多,又赚不到钱的Chrome 插件收买了,然后搞事情一样

申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。

未经谷姐允许不得转载:谷姐靓号网 » 在用alist的朋友记得后台里面删掉那个供应链投毒的polyfill-terryxu
分享到: 生成海报

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

买Google Voice认准【谷姐靓号网】

Google Voice靓号列表Google Voice自助购买
切换注册

登录

忘记密码 ?

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活