Polyfill.io 和 bootcdn 和 staticfile CDN 被 uBlockOrigin 屏蔽，因疑似被攻击者控制

不是被攻击者控制，而是一种有意的投毒。

看的出来 sri 很有必要

另外，之前 bootcdn 和 staticfile 的多数资源都被刻意设置了 max-age=0 或者 no-cache ，还有用户专门在 issues 里反映过，但没有修复，看来似乎就是为了投毒的快速应用和被发现后的快速撤回？

这文章不是说 uBlockOrigin 被控制、投毒。而是说这些 cdn 被控制，然后 uBlockOrigin 把这些 cdn 屏蔽了

@ho121 #3 因为主语相同，我省略掉了，仔细看确实有些歧义

P1 issue, 昨天连忙切到了 cloudfare 的 CDN, 哈哈

https://greasyfork.org/en/discussions/development/249443-polyfill-supply-chain-attack-bootcdn-and-staticfile

greasyfork 也删除了 allowed CDNs 中的 bootcdn 、staticfile 和 polyfill.io

刚碰到了，我说一个页面插件咋打不开了，一看 console 是 bootcdn 的给拦截了

https://x.com/mdmck10/status/1806350487635083517
这个应该是源头, 也是对 bootcdn 屏蔽的依据
简单讲大概是 staticfile.net 、bootcdn.net 、bootcss.com 、polyfill.io 都是 cloudflare 同一个账户下面管理的, 所以合理推断全部有罪

@1423 这推断没问题，而且 BootCDN 在此之前就有投毒行为，最早在去年 6 月，比如

https://v2ex.com/t/950163

https://www.cnblogs.com/ADSZ/p/17465009.html

再往前翻，BootCDN 也时有崩溃的问题，一句话就是不推荐再用，cdnjs.cloudflare.com 保平安

BootCDN 在去年约 5 月份被收购，6 月份就有投毒； polyfill.io 今年 2 月被收购，6 月被发现投毒，是收购方刻意为之吧

https://imotao.com/7373.html

https://x.com/triblondon/status/1761852117579427975

https://sansec.io/research/polyfill-supply-chain-attack

这次事件应该是故意的。