script使用integrity属性进行安全验证

已于 2022-02-22 11:46:27 修改
阅读量1.6k 收藏 2
点赞数
分类专栏: javascript 文章标签: 安全 vue.js javascript
于 2022-02-08 16:15:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36663951/article/details/122826156
版权
本文介绍了如何在HTML中通过script标签引入本地和远程JS文件,特别是讨论了在引入CDN资源时的安全验证。通过设置integrity属性和SHA-256哈希值,可以确保远程文件未被篡改,保障用户安全。当哈希值不匹配时,浏览器将阻止文件加载,从而提供额外的安全保护。
摘要由CSDN通过智能技术生成

script标签引入文件

在html中,script标签可以通过src属性引入一个js文件,引入的js文件可以是本地的,也可以是远程的。
1. 引入本地文件

开发环境一般多引入本地js文件。

<script src="./js/index.js"></script>

2. 引入远程文件

部署到线上后,一般会分发到cdn,需要引入远程文件,形如:

<script src="https://cdn.xxx.xx/js/index.js"></script>

  

只是引入远程文件存在一个问题,如果对应的文件被篡改了,那么可能会对用户造成影响。虽然cdn一般都是可靠的,但是不排除受到黑客的攻击。

在这种情况下,可以通过script标签的属性 integrity 来进行安全验证。
integrity安全验证

integrity属性设置引入js文件的hash值,浏览器在下载js文件时候,会对js文件进行hash计算,如果一致则正常加载,否则拒绝加载运行。

形如:

<script
    integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
    src="https://cdn.xxx.xx/js/index.js"></script>

还是来个示例看看。
1. 引入vue的cdn资源

例如我们要引入vue的cdn资源:

https://unpkg.com/vue@3.0.5/dist/vue.global.js

可以通过 https://www.srihash.org/ 生成hash值。

最后将 integrity 的值添加到script标签即可。

<script src="https://unpkg.com/vue@3.0.5/dist/vue.global.js"
    integrity="sha384-0k9//QJdpmfSdp5IK3oJjOYPfz42f2FE0goMLtK9Vq7aKllvc4Lnz7lHPHiFhvDP"
    crossorigin="anonymous">
</script>

2. 验证是否正常

因为引入的是cdn资源,无法直接修改,但是修改 integrity 的值,如果修改了 integrity 的值,最终浏览器会报如下错误:

Failed to find a valid digest in the 'integrity' attribute for resource 'https://unpkg.com/vue@3.0.5/dist/vue.global.js' with computed SHA-256 integrity 'Wr5PnkpmZ3oQFRZLfDrI6fsePSMak5h8rW2rqq+mdWg='. The resource has been blocked.

意思就是cdn文件的hash值和 integrity 的不匹配。
 

张高伟
关注
专栏目录
integrity defer <script标签属性
大脑和心脏都要跳动的97
02-22 335
integrity是<script>标签的新属性,作用如下 允许比对接收到的资源和指定的加密签名以验证子资源完整性(SRI, 12 Subresource Integrity)。如果接收到的资源的签名与这个属性指定的签名不匹配,则页面会报错, 脚本不会执行。这个属性可以用于确保内容分发网络(CDN,Content Delivery Network)不会提供恶意内容。 在此提醒,最好不要过多的引用外部文件,因为即使ECMA为防范恶意行为增加了integrity属性,该属性也不是所有浏览器
script标签有多少种属性,你知道吗?
sxzxiaofeng168的博客
06-12 1249
先思考一下,问自己几个问题 script标签integrity属性的作用 crossorigin 属性如何携带凭据? defer属性的作用,defer属性加载的脚本执行顺序如何? async属性的作用,async属性加载的脚本执行顺序如何? JS动态加载脚本前,如何让浏览器预加载? 将javaScript插入HTML中主要的方式是使用 async: 可选。表示立即开始下载脚本,但不能阻止页面其它的动作,比如下载资源或等待其它脚本加载。只对外部脚本文件有效。在外部js文件加载完成之后,如果浏览器空闲,
html script中的integrity
purple尘的专栏
02-09 482
作用:防止文件被劫持篡改 用来校验使用的 生成:MDN文档中有说明,如下: -cat FILENAME.js | openssl dgst -sha384 -binary | openssl base64 -A - 或shasum -b -a 384 FILENAME.js | awk '{ print $1 }' | xxd -r -p | base64
js--script和link中的 integrity 属性
weixin_34293902的博客
07-19 508
<link crossorigin="anonymous" integrity="sha256-+hDz/gVbhp24mhOmoIT4Du4F3K5fs9fjjoe0rP5gSLs=" rel="stylesheet" href="/assets/css/home.css" /> link或script中的integrity 属性:为了防止 CDN 篡改 javascrip...
script属性
qq_43253672的博客
09-17 340
记录script属性及方法
CSP 中的nonce和hash:如何使用这些属性增强安全性?
[CSP 中的nonce和hash:如何使用这些属性增强安全性?](https://img-blog.csdnimg.cn/1862893bd0334f3b8c849631aa1fb65f.png) # 1. 理解CSP 在网络安全领域,Content Security Policy(CSP)是一种重要的安全机制,...
subresource_integrity_rewrite:重写平面HTML页面以包括所有第三方脚本的子资源完整性
05-05
当浏览器加载资源时,会计算文件的哈希值并与`integrity`属性中的哈希值进行对比,如果两者一致,表示资源未被修改,可以安全地执行或应用。 `subresource_integrity_rewrite`是一个工具,其主要目的是自动将子资源...
Web页面子资源完整性校验详细指南
dreamapplehappyapple的专栏
09-20 1300
时间过得好快,距离上一篇文章动手写一个简单的编译器:在JavaScript使用Swift的尾闭包语法发布已经过去快半年了,这半年时间也一直在想着按时更新文章;但是因为工作和生活的琐事,没有能够坚持下来。有点惭愧,感觉之前年初立下的计划快要实现不了了。希望接下来的这一段时间能够坚持更新文章吧。 这次要跟大家分享的是关于Subresource Integrity(子资源完整性)的内容。如果平时对Web安全关注不是很多的话,可能没怎么听过这个术语。不知道也没关系,接下来我会跟大家一起来研究讨论一下这个内容,相信
OWASP Web 安全测试指南-Web 应用程序安全测试
最新发布
seanyang_的博客
12-04 489
本节介绍 OWASP Web 应用程序安全测试方法,并说明如何测试应用程序中由于已识别的安全控制缺陷而导致的漏洞证据。
javaScript】关于script 标签你应该知道的 (async,defer,integrity,crossorigin 和 onerror 属性)
Umbrella_Um的博客
11-14 1405
作者:rainjay 原文链接:https://github.com/rainjay/blog/issues/1 script标签用来在网页中执行JavaScript,它可以直接包含JavaScript代码,也可以直接通过src指向一个同域或者不同域的外链 1. script标签默认会阻塞页面解析,并按照它们出现的顺序执行 <script src="a.js"></scrip...
script>元素的8个属性
weixin_45646245的博客
11-16 792
async:可选。表示应该立即开始下载脚本,但不能阻止其他页面动作,比如下载资源或等待其他脚本加载。只对外部脚本文件有效。 charset:可选。使用 src 属性指定的代码字符集。这个属性很少使用,因为大多数浏览器不在乎它的值。 crossorigin:可选。配置相关请求的CORS(跨源资源共享)设置。默认不使用CORS。crossorigin= "anonymous"配置文件请求不必设置凭据标志。crossorigin="use-credentials"设置凭据标志,意味着出站请求会包含凭据。 def.
html 里面的 script 标签有了新的属性integrity
men_shuangshuang的博客
12-06 7068
这个标签是为了防止 CDN 篡改 javascript 用的。 &lt;script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.slim.min.js" integrity="sha384-KJ3o2DKtIkvYIK3UENzmM7KCkRr/rE9/Qpg6aAZGJwFDMVNA/GpGFF93hXpG5KkN" cross...
实现网页应用程序脚本安全性,防止恶意脚本
李知恩李知金
04-27 302
在引用外部脚本文件时,我们通常会采用 <script src="https://unpkg.com/vue@3.0.5/dist/vue.global.js"> </script> 如果对应的文件被篡改了,可能会对用户造成影响。虽然cdn一般都是可靠的,但是不排除受到黑客的攻击 这种情况下,可以通过script标签属性 integrity进行安全验证 integrity integrity属性设置引入js文件的hash值,浏览器在下载js文件时候,会对js文件进行
HTML5 script 标签的 crossorigin 和integrity属性的作用
weixin_34130269的博客
04-16 702
Bootstrap 4依赖的基础库中出现了两个新的属性 1 <script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.slim.min.js" integrity="sha384-KJ3o2DKtIkvYIK3UENzmM7KCkRr/rE9/Qpg6aAZGJwFDMVNA/GpGFF93hXpG5KkN" crossorig...
HTML5下script标签crossorigin和integrity属性作用
U.R.M.L
08-19 1284
Bootstrap 4依赖的基础库中出现了两个新的属性 <script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.slim.min.js" integrity="sha384-KJ3o2DKtIkvYIK3UENzmM7KCkRr/rE9/Qpg6aAZGJwFDMVNA/GpGFF93hXpG5KkN" crossorigin="anonymous"></script> <script src="https://c.
【Bootstrap】bootstrap快速入门
南北极之间
05-12 855
下载: 安装后:有3个文件夹: css,字体,js jQuery需要自己下载 ******** 新建一个文件: 成功。 第一个bootstrap文件: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF...
JavaScript:基本概念、变量
qq_42951382的博客
01-24 412
一、基本概念 1.引入页面方式 1.直接写在script 标签中 <script type="text/javascript"></script> 2.通过外部链接 <script src="./js/index.js"></script> 3.script标签的位置: 放在head标签里面,或者body标签后, 区别:放在body后面,页面加载更快 2.基本语法 (1)是否区分大小写 js是区分大小写的语言 (2)注释 //这里是行注释 /*这里的所有
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值