Polyfill.io について（2024）

Polyfill.io はオープンソースのJava Script ライブラリとして公開されていましたが、2024年2月にFunnullという中国企業に買収されました。

Polyfill.ioは、古いブラウザでも新しいWeb技術を使えるようにするためのスクリプトを提供するサービスです。しかし、セキュリティやパフォーマンスの観点から注意が必要です。

セキュリティリスク

1. 外部依存性: Polyfill.ioは外部のサーバーからスクリプトを取得するため、そのサーバーが攻撃を受けた場合、あなたのサイトも影響を受ける可能性があります。
2. バージョン管理の不安定性: 外部のスクリプトが更新された場合、互換性の問題が発生することがあります。

対策

1. 自前ホスティング: Polyfill.ioから必要なスクリプトをダウンロードし、自分のサーバーでホスティングすることで、外部依存性を減らすことができます。
2. SRI (Subresource Integrity): スクリプトタグにSRI属性を追加することで、スクリプトが改ざんされていないことを確認できます。
3. 適切なバージョン管理: スクリプトのバージョンを固定し、必要な場合のみ手動で更新するようにします。

以下は参考リンクです。

https://neightbor.jp/blog/js-polyfill-io

https://qiita.com/A-Kira/items/1f084ae482dc90dd4eac