子资源完整性SRI简介

最新推荐文章于 2024-05-24 09:58:12 发布
最新推荐文章于 2024-05-24 09:58:12 发布
阅读量1.7k 收藏
点赞数
文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccor2002/article/details/130630710
版权
子资源完整性(SRI)是一种确保浏览器从CDN加载的资源未被篡改的安全机制。通过对比资源的哈希值,浏览器判断其是否被修改。当哈希值不匹配时,浏览器将阻止执行,提供错误恢复机制。SRI可以结合内容安全政策(CSP)使用,以增强网页的安全性。然而,仅依赖SRI可能无法完全解决CDN加载失败或网络劫持问题,可能需要配合服务降级和备用源切换策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是SRI

子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制。是允许浏览器检查其获得的资源(例如从 CDN 获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。

在一些CDN网站提供了带SRI的,比如 vue - Libraries - cdnjs ,可以看到如下引用:

<script src="https://cdnjs.cloudflare.com/ajax/libs/vue/3.2.47/vue.cjs.js"
 integrity="sha512-DD31SaA8/u+cn6fBAdPBcABgOkmiogzhPd/dNHvkMmazQLEjiaT9ZP51rkGTpFcx+jFl0EeNCxgxLaNniutt2g==" crossorigin="anonymous" referrerpolicy="no-referrer"></script>

使用子资源完整性功能的方法是,在任何 <script><link> 元素的 integrity 属性值中,指定你要告诉浏览器所获取的资源(或文件)的 base64 编码的加密哈希值。

integrity 值至少由一个字符串开始,每个字符串包括一个前缀,表示一个特定的哈希算法(目前允许的前缀是 sha256sha384sha512),后面是一个短横线(-),最后是实际的 base64 编码的哈希。

可以看到引入css也支持:

<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/bootstrap/5.2.3/css/bootstrap-grid.min.css" 
integrity="sha512-JQksK36WdRekVrvdxNyV3B0Q1huqbTkIQNbz1dlcFVgNynEMRl0F8OSqOGdVppLUDIvsOejhr/W5L3G/b3J+8w==" crossorigin="anonymous" referrerpolicy="no-referrer" />

错误恢复

  1. 当浏览器遇到一个带有 integrityscriptstyle 标签,在执行其中的 JS 脚本或应用其中的 CSS 样式之前,浏览器会首先计算所下载文件的内容的哈希值是否与 integrity 属性给定的值相同。
  2. 如果计算结果与给定值不匹配,浏览器会拒绝执行脚本内容,并报出一个网络错误,类似如下结果:

Failed to find a valid digest in the ‘integrity’ attribute for resource ‘https://cdnjs.cloudflare.com/ajax/libs/normalize/6.0.0/normalize.min.css’ with computed SHA-256 integrity ‘VbcxqgMGQYm3q8qZMd63uETHXXZkqs7ME1bEvAY1xK8=’. The resource has been blocked.

js的判断加载失败从本站加载:

<script src="https://code.jquery.com/jquery-3.2.1.min.js"
        integrity="sha384-xBuQ/xzmlsLoJpyjoggmTEz8OWUFM0/RC5BsqQBDX2v5cMvDHcMakNTNrHIW2I5f"
        crossorigin="anonymous"></script>
<script>if (!window.jQuery) document.write('<script src="/jquery-3.2.1.min.js"><\/script>')</script>

这其实是一种的服务降级方案,但是这个方案不算完整,比如css就不太容易判断和做降级。

不过一般出现加载失败,除了引用三方站点资源发生了篡改,还有可能是三方服务或网络问题导致不可用。可以js重定向到一个本站页面实现降级服务。

if(!window.jQuery) location= 'redirect_url'

CDN加载失败还有可能是被网络劫持了,还有种方式应该可以实现多个CDN或三方备用源切换,通过js加载资源方式。这样还能打点上报故障区域,为故障诊断网站运维提供信息。

var s = document.createElement('script');
s.crossOrigin = 'anonymous';
s.integrity="sha384-xxxxx";
s.onerror = function() {
  // 打点上报劫持数据 (这里是用img src上报)
  var img = document.createElement('img');
  img.src = 'http://xxx.com?url='+s.src;
  document.body.appendChild(img);

  // 更换其他域名下载地址
  s.src = 'http://zeptojs.com/zepto.min.js';  
};
s.onload = function() {
  console.log($);
}
s.src = 'http://lib.baomitu.com/zepto/1.2.0/zepto.min.js';
document.head.appendChild(s);

CSP与SRI

你可以使用 内容安全政策CSP)强制要求当前页面所有脚本加载标签启用 SRI。例如

Content-Security-Policy: require-sri-for script;

强制要求所有 script 标签启用 SRI,浏览器会拒绝加载未启用 SRI 的 script 标签。

对应的还有 CSS 版本:

Content-Security-Policy: require-sri-for style;

你也可以同时启用两者。

参考:

子资源完整性 - Web 安全 | MDN

html - 使用SRI保护你的网站免受第三方CDN恶意攻击 - SegmentFault 思否

ccor2002
关注
【第1111期】Subresource Integrity 介绍
前端早读课
11-16 1067
前言 SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。 正文从这开始~ 这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource
subsource integrity 资源完整性
weixin_44365748的博客
10-15 535
sri 资源完整性
Subresource Integrity 介绍--SRI (Subresource Integrity) 的检查
zhang8907xiaoyue的博客
11-23 9447
这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:资源完整性(草案),它也是由 Web 应用安全工作组(
Web 安全之 SRI(Subresource Integrity 资源完整性)详解
路多辛的所思所想
08-23 3487
SRI,全称是 Subresource Integrity,即资源完整性,是一种用于防范恶意攻击和提高网站安全性的策略,可以用来防止网站引用的资源(例如 JavaScript、CSS、图片等)被篡改。这个策略是通过在引用资源时提供一个对应的哈希值来实现的,浏览器在加载资源时会计算其哈希值,如果计算出的哈希值与对应的哈希值不相等,浏览器就不会加载这个资源
GitHub 实现了资源完整性SRI
weixin_34380296的博客
07-08 465
实现资源完整性(Subresource Integrity)之后,使用 GitHub 比以前更加安全了。SRI 会让你的浏览器仔细检查我们的内容分发网络(Content Delivery Network)是否正确地发送 JavaScript 和 CSS 到你的浏览器上。如果没有 SRI ,攻击者破解了我们的 CDN 后,就能够发送恶意的 JavaScr...
webappsec-subresource-integrity:WebAppSec资源完整性
05-07
资源完整性 编辑草稿: : 规范文本使用编写。 编辑index.bs ,可以通过在命令行上键入make来生成新HTML草稿。 请注意,这需要活动的Internet连接才能下载最新的配置文件。 您可以通过键入make publish (将本地master分支推送到GitHub的gh-pages分支)来发布新的草稿。 请不要修改spec_v1.markdown或其编译文件index.kramdown.html 。 这些是规范版本1中的规范文件,该文件最初是用Kramdown编写的,但是现在仅在index.bs完成工作。 拉取请求愉快地进行了审查。
sri-check:Python脚本,用于在没有资源完整性的情况下获取脚本标签
02-11
SRI检查器 极其简单的Python脚本,用于从远程URL捕获[removed]标记并输出不具有Subresource Integrity integrity属性的任何内容。 我们将其用于但您可以将其用于任何您喜欢的东西! 安装 您需要一些库。 此存储库中...
用于启用资源完整性的Webpack插件
08-07
在现代Web应用开发中,安全性是至关重要的,而“资源完整性”(Subresource Integrity,简称SRI)就是一种提升网页安全的机制。它允许浏览器验证通过CDN或其他外部来源加载的资源是否经篡改。 "用于启用资源...
Web页面资源完整性校验详细指南
dreamapplehappyapple的专栏
09-20 1474
时间过得好快,距离上一篇文章动手写一个简单的编译器:在JavaScript中使用Swift的尾闭包语法发布已经过去快半年了,这半年时间也一直在想着按时更新文章;但是因为工作和生活的琐事,没有能够坚持下来。有点惭愧,感觉之前年初立下的计划快要实现不了了。希望接下来的这一段时间能够坚持更新文章吧。 这次要跟大家分享的是关于Subresource Integrity(资源完整性)的内容。如果平时对Web安全关注不是很多的话,可能没怎么听过这个术语。不知道也没关系,接下来我会跟大家一起来研究讨论一下这个内容,相信
sri-check:检测无资源完整性脚本的Python工具
资源摘要信息:"sri-check是一个Python脚本工具,专门设计用于检查网页中是否正确使用了Subresource Integrity(SRI)属性。SRI是Web安全中的一个概念,它允许浏览器检查从第三方源获取的资源(如JavaScript或CSS文件...
Subresource Integrity (SRI) Hash Generator-crx插件
04-02
语言:English 资源完整性SRI)哈希生成器 为当前页面上的所有脚本生成资源完整性SRI)哈希。
sri-hash-generator:资源完整性SRI)哈希生成器(PWA)
03-25
资源完整性SRI)发电机 渐进式Web应用程序(PWA),将产生integrity基于给定的资源。 无论是输入资源的链接或删除本地文件来计算,可以使用,因为它的哈希值integrity属性。 脱机工作。 注意:如果提供网上链接,抓取资源不应被阻止由于跨域,否则integrity无法正确生成散列。 链接 以下链接可能会有所帮助理解SRI
vite-plugin-sri:一个Vite插件,可在构建时向您的index.html添加资源完整性哈希
03-31
@ small-tech / vite-plugin-sriSRI)插件。 在构建时,将资源完整性哈希添加到从index.html文件导入的脚本和样式表中。 安装 npm i --save-dev @small-tech/vite-plugin-sri 采用 在您的vite.config.js文件中: import { defineConfig } from 'vite' import sri from '@small-tech/vite-plugin-sri' export default defineConfig ( { // … plugins : [ sri ( ) ] } ) 然后: npx vite build 测试与覆盖 运行npm test进行测试, npm run coverage以运行coverage。 也可以看看 如果您正在寻找一种可以完成相同
sri_hash.cr:为资源生成SRI哈希或完整脚本标记
02-04
Crystal的资源完整性助手。 有关SRI的更多信息: : 安装 将依赖项添加到您的shard.yml : dependencies : sri_hash : github : anamba/sri_hash.cr 运行分shards install 用法 require " sri_hash " SRIHash...
Subresource Integrity(资源一致性)和JS DDos 攻击
weixin_30423977的博客
12-09 642
以下文章转载自http://www.cnblogs.com/zoucaitou/p/4505483.html 和http://www.puronglong.com/blog//2015/04/12/%E4%BB%8Egithub%E9%81%AD%E5%8F%97%E6%94%BB%E5%87%BB%E7%9C%8BDDoS.html 分布式拒绝服务攻击(DDoS)攻击是一种针对网站发...
推荐使用:webpack-subresource-integrity - 确保你的前端资源安全无虞
最新发布
gitblog_00027的博客
05-24 559
推荐使用:webpack-subresource-integrity - 确保你的前端资源安全无虞 webpack-subresource-integrityWebpack plugin for enabling Subresource Integrity.项目地址:https://gitcode.com/gh_mirrors/we/webpack-subresource-integrity 在...
漏洞修复之 SRI
波子汽水
11-02 6018
这几天,GitHub 宣布 启用 SRI 策略 ,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:资源完整性(草案),它也是由 Web 应用安全工作组( Web
使用 SRI 解决 CDN 劫持
Innocence_0的博客
02-13 663
使用 SRI 解决 CDN 劫持
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值