“防”字当头，第三方脚本的安全风险与应对方式(3)

第四种方法是应用程序内检测。其检测脚本的行为、可疑的活动，着力于快速缓解攻击、减少对业务的影响。这也是Akamai认为有效的脚本保护方式之一。持续的手动分析和测试在现实场景下较难实现，应用程序内检测则是一个独立于平台且自动的、不断演进的安全威胁检测方式，并且不依靠于访问控制方法，真正能够做到保障网站安全。举例而言，对于Magecart攻击来说，这种方式能够检测可疑的行为，并且易于管理和设置，让企业的网站始终处于监测状态、随时在线。另外，它还能够排除干扰信息，根据已知的安全威胁提供情报，避免“重蹈覆辙”。最后，针对访问的控制策略，该方法也会根据反馈不断进行更新。

随着第三方脚本成为现代网站的“必需品”，针对第三方脚本的攻击发生得也越来越频繁，且往往给企业带来巨大损失。企业应当保持警惕，使用诸如Request Map这样的工具检测网站页面第三方脚本的数量，并对网站页面的第三方脚本予以监视，哪怕该脚本来自受信任的第三方也是如此。同时，企业应考虑适用自身网站的脚本管理方式，进行第三方脚本行为检测，实施管理和风险控制，并将应用程序内的脚本保护与访问控制解决方案结合起来，协同运行。

Akamai最近推出的Page Integrity Manager为Akamai客户提供了管理脚本（包括第一方、第三方乃至第n方脚本）风险所需的检测能力，以及根据客户自身独特需要制定业务决策所必不可少的实用信息 。

（编辑：ASP站长网）