JavaScript实现DDoS攻击原理，以及保护措施。

• DDos介绍

　　最普遍的攻击是对网站进行分布式拒绝服务（DDoS）攻击。在一个典型的DDoS攻击中，攻击者通过发送大量的数据到服务器，占用服务资源。从而达到阻止其他用户的访问。

　　如果黑客使用JavaScript的DDoS攻击，那么任何一台计算机都可能成为肉鸡，使潜在的攻击量几乎是无限的。

• Javascript实现DDos攻击原理分析

　　现在网站的交互性都是通过JavaScript来实现的。通过添加JavaScript直接插入HTML元素，或通过远程来加载JavaScript。浏览器会读取script标签中的src属性并运行它所指向的脚本，其实不只是script标签可以用来攻击，简单来说只要是可以跨域访问的标签，如img，link等都可以实现DDos攻击。

　　既然这些标签可以访问外站的资源，那么我们是不是就可以设个定时器无限访问这个网站，从而达到攻击呢，那是肯定的。

• 最终DDos攻击手法

　　如果只是一台电脑进行攻击，那也造不成什么危害，除非是对方网站根本没有对网站进行安全保护，现在大部分网站都有用CDN来隐藏真实的ip，并且这些网站大部分也有防DDos攻击，很多网站也会设置网站黑名单，如果一台计算机在一段时间内不断访问的话，那么就很有可能被加入黑名单。那么难道就没有办法了吗。

　　自然不是，只要你开放网站，黑客就有办法攻击，当然也要看那个黑客的技术了。

　　现在的网站几乎都使用了JavaScript的库。为了节省带宽，提高性能，很多网站都通过第三方的网站托管服务，来加载这些js库。如果这些第三方网站的js库中存在恶意代码的话，很有可能被利用，一些牛逼的黑客可以通过破解这些第三方网站的后台，修改脚本。如果用户访问这个网站的话就会下载这些脚本并执行，这些用户的计算机就会变成肉鸡，如果这个网站访问量比较大的话，那么就。。。

　　简单来说就是通过访问量较大的网站攻击目标网站。

• 保护措施

　　为了解决这个问题，W3C提出了一个新的功能叫做子资源的完整性，你可以告诉浏览器如果它不符合你期望的运行脚本,通过使用加密哈希。它就像一个指纹：只有两个文件具有相同的哈希，那么才能被匹配，当用户的计算机下载这些脚本后，浏览器会计算其哈希，如果与预期的不匹配，那么就说明这些脚本已经被篡改，浏览器将不会执行这个脚本。

原先我们是这样引用脚本的

<script src="http://www.xxx.com/xxx.js"></script>

现在的做法

<script src="http://www.xxx.com/xxx.js" integrity="sha384-hK8q2gkBjirpIGHAH+sgqYMv6i6mfx2JVZWJ50jyYhkuEHASU6AS1UTWSo32wuGL" crossorigin="anonymous">

integrity：哈希值
crossorigin：是为了保证浏览器的同源策略的正确实施，防止跨站脚本（XSS）攻击

生成哈希值的网站：www.srihash.org