cdn.bootcss.com 疑似植入恶意代码

https://www.cnblogs.com/ADSZ/p/17465009.html
bootcss 至少在去年 6 月份就被人发现挂马了，那么久都不解决，基本可以认定是网站所有者故意挂马

为什么还要用它呢？

@baiduyixia 已经不用了，我不是很确定是他有问题（不太自信），发出来让大伙研究下，如果真实就广而告之了

@ysc3839 有的人可能会说 bootcdn 和 bootcss 不是同一家，我个人认为是同一家，因为访问 bootcdn.net 会跳转到 www.bootcdn.cn ，而这个页面底部写着“BootCDN 联合 Bootstrap 中文网”。虽然备案号不同，但考虑到两者命名类似且都有挂马的情况，很可能背后是同一个控制者。

豫 B2-20070002-14 bootcdn.cn
豫 B2-20070002-15 bootcdn.net
豫 B2-20070002-16 bootcss.com
备案类型 企业
备案主体 郑州紫田网络科技有限公司

https://cdnjs.com/
https://staticfile.net/

@ysc3839 经过查询发现，bootcss.com 底部的备案号是不存在的，实际 bootcss.com 和 bootcdn.net 以及 bootcdn.cn 都属于 郑州紫田网络科技有限公司

日经贴，bootcdn 已经被不少 v 友黑名单了

try https://mirrors.sustech.edu.cn/cdnjs/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js or https://s4.zstatic.net/ajax/libs/html2canvas/0.5.0-beta4/html2canvas.min.js

能加 integrity 最好

紫田啊…… 那就没啥好说了

@ysc3839 原先是王赛个人主体备案，后来卖给了紫田，据说是景安的子公司，但是天眼查倒是看不出来什么关联。值得注意的是 51la 也是紫田的，这家统计挂马投毒可是臭名昭著

不知道历史，早些年还挺有好感的，这回彻底还 cdnjs 了

@Shiroka #10 51la 这狗东西半夜随机跳的，还很难抓到现行

用 Subresource Integrity 保平安，把文件 hash 值设置到 `integrity` 属性里。

这家上游是 CDNJS ，挂在 CloudFlare ，国内 CF 边缘节点 IP 被劫持的事情不少

一直存在投毒的情况，不是这会儿才发生的了

体量大了之后就想开始弄钱了 宰杀的是我们开发者 普通人的信任 透支了也就黑得不要不要的了

bootcss 不是一次两次出问题了，还在用只能说是勇士了。