【第1111期】Subresource Integrity 介绍

最新推荐文章于 2024-02-28 11:30:00 发布
最新推荐文章于 2024-02-28 11:30:00 发布
阅读量939 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wGL3k77y9fR1k61T1aS/article/details/78546876
版权
前言SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。正文从这开始~这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么?SRI 是 Subresource
摘要由CSDN通过智能技术生成

前言

SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。

正文从这开始~

这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。

SRI 是什么?

SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组(Web Application Security Working Group)发布。草案地址见这里。

Web 性能优化中很重要的一点是让请求提前结束,让可缓存的资源走 CDN 是最通用的做法。CDN 服务提供商通过分布在各地的节点,让用户从最近的节点加载内容,大幅提升速度。但是 CDN 的安全性一直是一个风险点:对于网站主来说,让请求从第三方服务器经过,由第三方响应,安全方面肯定不如自己服务器可控。

我们知道 CSP(Content Security Policy) 的外链白名单机制可以在现代浏览器下减小 XSS 风险。但针对 CDN 内容被篡改而导致的 XSS,CSP 并不能防范,因为网站所使用的 CDN 域名,肯定在 CSP 白名单之中。这时候,SRI 就应运而生了。它通过对资源进行摘要签名机制,来保证外链资源的完整性(不被篡改)。

目前支持 SRI 的浏览器有 Chrome 45+ 和 FireFox 43+。IE Edge 表示考虑中,将其列入了需求池,接受用户投票。CanIUse 网站目前尚未提供 SRI 支持度数据,但是已经有人提了 Issue,后续应该会加上。

SRI 怎么使用?

首先,我们通过 GitHub 的页面源代码看一下 SRI 如何使用:

<link crossorigin="anonymous" href="https://assets-cdn.github.com/assets/github-aef3088517c60128e10c5cce8d392985504018745a58a13691f1a278951852bb.css" integrity="sha256-rvMIhRfGASjhDFzOjTkphVBAGHRaWKE2kfGieJUYUrs=" media="all" rel="stylesheet" />

<script crossorigin="anonymous" integr
最低0.47元/天 解锁文章
前端早读课
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Subresource Integrity (SRI) Hash Generator-crx插件
04-02
子资源完整性(Subresource Integrity,简称SRI)是一种安全机制,它允许网页开发者在引入外部资源时验证这些资源是否未经篡改。SRI通过使用哈希值来检查下载的文件内容是否与原始版本匹配,确保用户接收到的是预期...
Subresource Integrity(子资源一致性)和JS DDos 攻击
weixin_30423977的博客
12-09 543
以下文章转载自http://www.cnblogs.com/zoucaitou/p/4505483.html 和http://www.puronglong.com/blog//2015/04/12/%E4%BB%8Egithub%E9%81%AD%E5%8F%97%E6%94%BB%E5%87%BB%E7%9C%8BDDoS.html 分布式拒绝服务攻击(DDoS)攻击是一种针对网站发...
使用SRI保护你的网站免受第三方CDN恶意攻击
yangye1225的博客
01-04 1877
出于速度和降低服务器负载考虑,有时候我们会选择使用 CDN 加载第三方静态资源。对于一些热门的第三方库,在用户打开你的网页之前就很有可能在浏览别的网站时被浏览器缓存下来,这样就可以极大的提升网页加载速度。 然而使用 CDN 也提高了网站的安全风险:第三方静态资源放在第三方服务器上,CDN 的拥有者有没有可能偷偷的篡改这些文件,加入恶意代码呢?或者 CDN 服务器遭受了黑客攻击,整个文件被替换
Web 安全之 SRI(Subresource Integrity 子资源完整性)详解
路多辛的所思所想
08-23 1563
SRI,全称是 Subresource Integrity,即子资源完整性,是一种用于防范恶意攻击和提高网站安全性的策略,可以用来防止网站引用的资源(例如 JavaScript、CSS、图片等)被篡改。这个策略是通过在引用资源时提供一个对应的哈希值来实现的,浏览器在加载资源时会计算其哈希值,如果计算出的哈希值与对应的哈希值不相等,浏览器就不会加载这个资源。
web 网络安全知识
最新发布
瓦罗兰特顶级C位的博客
02-28 939
前言:公司最近严抓网安,使用安全工具扫描项目发现了一下一些关于网安的问题
75CDN 增加 SRI 支持
weixin_34101229的博客
11-14 165
75CDN 是一个由奇舞团维护的静态资源托管平台,创立至今已经稳定运行了一年多的时间。近期我们增加了 SRI 的支持,作为国内首个提供 SRI 服务的静态资源库了,也算是为 75CDN 一周年庆生吧。 SRI 全称是 Subresource Integrity,是用来解决由于 CDN 资源被污染而导致的 XSS 漏洞的方案。当浏览器检测...
子资源完整性SRI简介
凌晨港口
05-11 1134
子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制。是允许浏览器检查其获得的资源(例如从 CDN 获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。
webpack-subresource-integrity:用于启用Subresource完整性的Webpack插件
02-06
webpack-subresource-integrity Webpack插件,用于启用子资源完整性。 (SRI)是一项安全功能,使浏览器可以验证是否已交付获取的文件(例如,从CDN获取的文件)而没有意外的操作。 产品特点 与可选集成。 自动...
subresource_integrity_rewrite:重写平面HTML页面以包括所有第三方脚本的子资源完整性
05-05
子资源完整性(Subresource Integrity,SRI)是Web安全领域的一个重要概念,它允许开发者在引入外部资源,如JavaScript库、CSS文件或者字体时,验证这些资源是否在传输过程中被篡改。SRI通过在HTML的`<script>`或`...
SRI::file_cabinet:Subresource Integrity(SRI)哈希-排名第一的免费开放源CDN,旨在简化开发人员的生活
02-11
排名第一的免费开放源CDN,旨在使开发人员的生活更加轻松。 介绍 对于cdnjs上可用的每个文件,这是用于子资源完整性(SRI)哈希的仅机器人存储库。 其他资料库 有关控制我们在cdnjs上托管的库的JSON文件,请查看存储...
jquery.hash:jQuery DOM元素哈希插件
05-20
jquery.hash jQuery DOM元素哈希插件 支持的哈希方法 base64 md5 sha1 自己编译 如果要编译自己的版本或jquery.hash的修改 npm install node compile 抓取out/jquery.hash.min.js文件并将其插入! 例子 DOM元素 $elem = $ ( "#myBeautifulDiv" ) ; hash_b64 = $elem . hash ( ) ; //same: $elem.hash({method: "base64"}); hash_sha1 = $elem . hash ( { method : "sha1" } ) ; 散列字符串 var hashes = [ ] ; hashes . push ( $ . hashing . base64 ( "Hello jQuery!" ) ) ; /
PyPI 官网下载 | subresource-integrity-0.2.tar.gz
02-02
"subresource-integrity-0.2.tar.gz"是一个在PyPI(Python Package Index)官网上可下载的压缩包文件,它包含了名为"subresource-integrity"的Python库的0.2版本。这个库主要涉及网络安全和前端开发中的子资源完整性...
网站安全整理总结
qq_53555672的博客
06-10 950
前端八股
使用 SRI 解决 CDN 劫持
weixin_34405332的博客
01-09 538
最近项目频频遇到 CDN 劫持的事情,学习到可以通过 Subresource Integrity 的方式有效应对。 SRI 简介 SRI 全称 Subresource Integrity - 子资源完整性,是指浏览器通过验证资源的完整性(通常从 CDN 获取)来判断其是否被篡改的安全特性。 通过给 link 标签或者 script 标签增加 integrity 属性即可开启 SRI 功能,比如: ...
AppScan扫描安全问题修复
ThisLX的博客
08-14 4490
AppScan扫描安全问题修复1、隐藏Nginx版本号2、缺少“Content-Security-Policy”头3、缺少“X-Content-Type-Options”头4、缺少“X-XSS-Protection”头5、已解密的登录请求6、会话标识未更新7、SRI (Subresource Integrity) 的检查 1、隐藏Nginx版本号 修改nginx.conf配置文件 http { ...
Subresource Integrity 介绍--SRI (Subresource Integrity) 的检查
zhang8907xiaoyue的博客
11-23 8797
这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组(
使用SRI解决CDN劫持问题
brizer的博客
07-04 2985
CDN劫持的表现形式 之前总说https的安全的。如果你遇到这么一个场景:网站是https的,cdn也是https,但是用户还是看到广告,或者直接唤起其他app等更加恶心的操作。 这个时候你可以考虑下自己是否遭到了CDN劫持。 劫持方非常狡猾,每天每个用户只劫持一次,或者只会在固定时间段劫持,非常难以重现。 这样说明,使用CDN也存在风险,如果攻击者获得对 CDN 的控制权,则可以将任意恶意内容注...
关于前端安全的几个提示
Bule_daze的博客
05-12 582
作为前端开发人员,我们最关心的是性能、SEO 和 UI/UX——安全性却经常被忽略。 我们应该记住,就安全性而言,前端现在与后端或 DevOps 承担着同样的责任。前端可能会发生几千种恶意攻击。 常见攻击 不受限制的文件上传 这是一种将恶意文件上传到服务器然后对系统执行的攻击方式。攻击可能包括:使文件系统或数据库超载,接管完整的系统,客户端攻击,将攻击转发到后端系统或进行简单的破坏。 点击劫持 这是一种恶意用户诱骗正常用户点击网页或不属于该站点的元素的攻击方式。这种攻击可能会导致用户在不经意间提供凭
SRI (Subresource Integrity) 的检查
05-24
SRI (Subresource Integrity) 是一种安全机制,可以帮助保护网页免受恶意第三方脚本的攻击。它通过在引入外部资源(如脚本、样式表、图片等)时,附加一个 Hash 值,来确保浏览器只会加载经过验证的资源,从而防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值