子资源完整性SRI简介

最新推荐文章于 2024-05-15 08:15:38 发布
最新推荐文章于 2024-05-15 08:15:38 发布
阅读量1k 收藏
点赞数
文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccor2002/article/details/130630710
版权

什么是SRI

子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制。是允许浏览器检查其获得的资源(例如从 CDN 获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。

在一些CDN网站提供了带SRI的,比如 vue - Libraries - cdnjs ,可以看到如下引用:

<script src="https://cdnjs.cloudflare.com/ajax/libs/vue/3.2.47/vue.cjs.js"
 integrity="sha512-DD31SaA8/u+cn6fBAdPBcABgOkmiogzhPd/dNHvkMmazQLEjiaT9ZP51rkGTpFcx+jFl0EeNCxgxLaNniutt2g==" crossorigin="anonymous" referrerpolicy="no-referrer"></script>

使用子资源完整性功能的方法是,在任何 <script><link> 元素的 integrity 属性值中,指定你要告诉浏览器所获取的资源(或文件)的 base64 编码的加密哈希值。

integrity 值至少由一个字符串开始,每个字符串包括一个前缀,表示一个特定的哈希算法(目前允许的前缀是 sha256sha384

最低0.47元/天 解锁文章
ccor2002
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【第1111期】Subresource Integrity 介绍
前端早读课
11-16 872
前言 SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。 正文从这开始~ 这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource
Subresource Integrity(资源一致性)和JS DDos 攻击
weixin_30423977的博客
12-09 537
以下文章转载自http://www.cnblogs.com/zoucaitou/p/4505483.html 和http://www.puronglong.com/blog//2015/04/12/%E4%BB%8Egithub%E9%81%AD%E5%8F%97%E6%94%BB%E5%87%BB%E7%9C%8BDDoS.html 分布式拒绝服务攻击(DDoS)攻击是一种针对网站发...
Subresource Integrity 介绍--SRI (Subresource Integrity) 的检查
zhang8907xiaoyue的博客
11-23 8736
这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:资源完整性(草案),它也是由 Web 应用安全工作组(
使用 SRI 解决 CDN 劫持
最新发布
Innocence_0的博客
05-15 227
SRI全称 Subresource Integrity - 资源完整性,是指浏览器通过验证资源完整性(通常从 CDN 获取)来判断其是否被篡改的安全特性。integrity 值分成两个部分,第一部分指定哈希值的生成算法(sha256、sha384 及 sha512),第二部分是经过 base64 编码的实际哈希值,两者之间通过一个短横(-)分割。integrity 值可以包含多个由空格分隔的哈希值,只要文件匹配其中任意一个哈希值,就可以通过校验并加载该资源
GitHub 实现了资源完整性SRI
weixin_34380296的博客
07-08 417
实现资源完整性(Subresource Integrity)之后,使用 GitHub 比以前更加安全了。SRI 会让你的浏览器仔细检查我们的内容分发网络(Content Delivery Network)是否正确地发送 JavaScript 和 CSS 到你的浏览器上。如果没有 SRI ,攻击者破解了我们的 CDN 后,就能够发送恶意的 JavaScr...
Web 安全之 SRI(Subresource Integrity 资源完整性)详解
路多辛的所思所想
08-23 1441
SRI,全称是 Subresource Integrity,即资源完整性,是一种用于防范恶意攻击和提高网站安全性的策略,可以用来防止网站引用的资源(例如 JavaScript、CSS、图片等)被篡改。这个策略是通过在引用资源时提供一个对应的哈希值来实现的,浏览器在加载资源时会计算其哈希值,如果计算出的哈希值与对应的哈希值不相等,浏览器就不会加载这个资源
sri-hash-generator:资源完整性SRI)哈希生成器(PWA)
03-25
资源完整性SRI)发电机渐进式Web应用程序(PWA),将产生integrity基于给定的资源。 无论是输入资源的链接或删除本地文件来计算,可以使用,因为它的哈希值integrity属性。 脱机工作。 注意:如果提供网上链接,...
sri-check:Python脚本,用于在没有资源完整性的情况下获取脚本标签
02-11
SRI检查器 极其简单的Python脚本,用于从远程URL捕获[removed]标记并输出不具有Subresource Integrity integrity属性的任何内容。 我们将其用于但您可以将其用于任何您喜欢的东西! 安装 您需要一些库。 此存储库中...
用于启用资源完整性的Webpack插件
08-07
用于启用资源完整性的Webpack插件
ssri:Node.js的标准资源完整性
02-03
斯里 是Standard Subresource Integrity(标准资源完整性)的缩写,是一个Node.js实用程序,用于解析,操纵,序列化,生成和验证哈希值。安装$ npm install --save ssri 目录 解析和序列化 诚信产生 完整性验证例...
vite-plugin-sri:一个Vite插件,可在构建时向您的index.html添加资源完整性哈希
03-31
在构建时,将资源完整性哈希添加到从index.html文件导入的脚本和样式表中。安装npm i --save-dev @small-tech/vite-plugin-sri采用在您的vite.config.js文件中: import { defineConfig } from 'vite'import sri ...
http-observatory-cli:HTTP天文台的命令行工具
05-30
Mozilla HTTP Observatory :: 命令行实用程序 请注意,此版本的 Observatory CLI 已被弃用,取而代之的。 HTTP Observatory (docker) 入门 $ docker run --rm fgribreau/httpobs-cli www.mozilla.org Score: 30 [E] Modifiers: [ -5] Initial redirection from http to https is to a different host, preventing HSTS [ -5] Subresource Integrity (SRI) not implemented, but all external scripts are loaded over https [ -5] X-Content-Typ
webappsec-subresource-integrity:WebAppSec资源完整性
05-07
资源完整性 编辑草稿: : 规范文本使用编写。 编辑index.bs ,可以通过在命令行上键入make来生成新HTML草稿。 请注意,这需要活动的Internet连接才能下载最新的配置文件。 您可以通过键入make publish (将本地master分支推送到GitHub的gh-pages分支)来发布新的草稿。 请不要修改spec_v1.markdown或其编译文件index.kramdown.html 。 这些是规范版本1中的规范文件,该文件最初是用Kramdown编写的,但是现在仅在index.bs完成工作。 拉取请求愉快地进行了审查。
漏洞修复之 SRI
波子汽水
11-02 5198
这几天,GitHub 宣布 启用 SRI 策略 ,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:资源完整性(草案),它也是由 Web 应用安全工作组( Web
web 网络安全知识
瓦罗兰特顶级C位的博客
02-28 887
前言:公司最近严抓网安,使用安全工具扫描项目发现了一下一些关于网安的问题
网站安全整理总结
qq_53555672的博客
06-10 935
前端八股
AppScan扫描报告解决方案
anyucx的博客
12-26 958
保存修改后 sbin/nginx -s reload -c conf/nginx.conf。在nginx安装目录下 conf 找到 nginx.conf 在需要server 中加上。一般以上问题解决方法是将扫描到的cdn文件或别的外部链接文件下载,换成本地路径即可。以上三种情况,可以在服务器或本地的nginx 配置文件中添加 ‘安全头’指定修改的配置文件并重启nginx 即可。
VUE CLI 配置详解
发渐稀的博客
07-11 1182
每个文件打包后都会出现一个.map文件,.map文件会出现一定的网络安全问题,我们可以通过productionSourceMap进行操作,使打包的文件不在出现.map文件,打包后的文件体积也会减少。官方文档也提到了因为 html 也是我们通过插件生成的,静态资源直接就 inject 进去的,所以,当 html 不是自动生成或者其他情况时候,就不能加 hash 了,可以配置 false。打包的包(dist)中的index.html文件的目录,默认就是dist的下一级,也就是打包之后的包的根目录。
更快更安全,HTTPS 优化总结
weixin_34290631的博客
02-26 518
在网站升级到 HTTPS 之后,我们还可以有很多玩意可以折腾,优化 HTTPS,让它更快更安全。这里是一篇 HTTPS 优化的总结,也包含问题的解决方法,不过不仅仅包括 HTTPS 的优化,也包含 HTTP 一些安全相关的配置。 因为平时用 Nginx 比较多,本文涉及到 Web Server 的大多数例都会以 Nginx 为例。如果有...
matlab 干旱指标sri
12-28
MATLAB中的干旱指标SRI(Standardized Precipitation Index)是一种用于评估干旱程度的指标。SRI可以用来分析降水量与长期平均降水量之间的差异,从而识别干旱的发生和发展情况。通过MATLAB中的数据处理和分析工具,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值