DDoS攻擊技術(shù)正在快速演化，最近出現(xiàn)的基于JavaScript的DDoS攻擊具有一個(gè)與眾不同的特點(diǎn)：任何有瀏覽器的設(shè)備都可能參與攻擊，其潛在攻擊規(guī)模接近無(wú)限。

　　現(xiàn)代網(wǎng)站的絕大多數(shù)互動(dòng)采用的都是JavaScript。JavaScript腳本可直接植入HTML中，或者是從遠(yuǎn)程服務(wù)器載入。

　　JavaScript攻擊主要發(fā)生在共享JavaScript腳本在第三方服務(wù)器上被替換，或者是在傳輸過(guò)程中被中間人替換。

　　對(duì)于屏蔽服務(wù)器上被替換的腳本，目前HTTP還沒(méi)有相關(guān)機(jī)制，但W3C已經(jīng)提出了名叫子資源完整性的新功能，使用哈希值驗(yàn)證腳本，如果哈希值不匹配瀏覽器可以阻止其運(yùn)行。

　　支持子資源完整性的瀏覽器暫時(shí)還只有Chrome和Firefox。

　　對(duì)于傳輸過(guò)程中腳本被中間人替換成惡意代碼，全面啟用HTTPS是唯一有用的方法。