【第1111期】Subresource Integrity 介绍

最新推荐文章于 2023-08-23 23:11:49 发布
最新推荐文章于 2023-08-23 23:11:49 发布
阅读量947 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wGL3k77y9fR1k61T1aS/article/details/78546876
版权
前言SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。正文从这开始~这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么?SRI 是 Subresource
摘要由CSDN通过智能技术生成

前言

SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。

正文从这开始~

这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。

SRI 是什么?

SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组(Web Application Security Working Group)发布。草案地址见这里。

Web 性能优化中很重要的一点是让请求提前结束,让可缓存的资源走 CDN 是最通用的做法。CDN 服务提供商通过分布在各地的节点,让用户从最近的节点加载内容,大幅提升速度。但是 CDN 的安全性一直是一个风险点:对于网站主来说,让请求从第三方服务器经过,由第三方响应,安全方面肯定不如自己服务器可控。

我们知道 CSP(Content Security Policy) 的外链白名单机制可以在现代浏览器下减小 XSS 风险。但针对 CDN 内容被篡改而导致的 XSS,CSP 并不能防范,因为网站所使用的 CDN 域名,肯定在 CSP 白名单之中。这时候,SRI 就应运而生了。它通过对资源进行摘要签名机制,来保证外链资源的完整性(不被篡改)。

目前支持 SRI 的浏览器有 Chrome 45+ 和 FireFox 43+。IE Edge 表示考虑中,将其列入了需求池,接受用户投票。CanIUse 网站目前尚未提供 SRI 支持度数据,但是已经有人提了 Issue,后续应该会加上。

SRI 怎么使用?

首先,我们通过 GitHub 的页面源代码看一下 SRI 如何使用:

<link crossorigin="anonymous" href="https://assets-cdn.github.com/assets/github-aef3088517c60128e10c5cce8d392985504018745a58a13691f1a278951852bb.css" integrity="sha256-rvMIhRfGASjhDFzOjTkphVBAGHRaWKE2kfGieJUYUrs=" media="all" rel="stylesheet" />

<script crossorigin="anonymous" integr
最低0.47元/天 解锁文章
前端早读课
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Subresource Integrity (SRI) Hash Generator-crx插件
04-02
子资源完整性(Subresource Integrity,简称SRI)是一种安全机制,它允许网页开发者在引入外部资源时验证这些资源是否未经篡改。SRI通过使用哈希值来检查下载的文件内容是否与原始版本匹配,确保用户接收到的是预...
web 网络安全知识
最新发布
瓦罗兰特顶级C位的博客
02-28 996
前言:公司最近严抓网安,使用安全工具扫描项目发现了一下一些关于网安的问题
使用SRI保护你的网站免受第三方CDN恶意攻击
yangye1225的博客
01-04 1891
出于速度和降低服务器负载考虑,有时候我们会选择使用 CDN 加载第三方静态资源。对于一些热门的第三方库,在用户打开你的网页之前就很有可能在浏览别的网站时被浏览器缓存下来,这样就可以极大的提升网页加载速度。 然而使用 CDN 也提高了网站的安全风险:第三方静态资源放在第三方服务器上,CDN 的拥有者有没有可能偷偷的篡改这些文件,加入恶意代码呢?或者 CDN 服务器遭受了黑客攻击,整个文件被替换
Web 安全之 SRI(Subresource Integrity 子资源完整性)详解
路多辛的所思所想
08-23 1617
SRI,全称是 Subresource Integrity,即子资源完整性,是一种用于防范恶意攻击和提高网站安全性的策略,可以用来防止网站引用的资源(例如 JavaScript、CSS、图片等)被篡改。这个策略是通过在引用资源时提供一个对应的哈希值来实现的,浏览器在加载资源时会计算其哈希值,如果计算出的哈希值与对应的哈希值不相等,浏览器就不会加载这个资源。
75CDN 增加 SRI 支持
weixin_34101229的博客
11-14 166
75CDN 是一个由奇舞团维护的静态资源托管平台,创立至今已经稳定运行了一年多的时间。近我们增加了 SRI 的支持,作为国内首个提供 SRI 服务的静态资源库了,也算是为 75CDN 一周年庆生吧。 SRI 全称是 Subresource Integrity,是用来解决由于 CDN 资源被污染而导致的 XSS 漏洞的方案。当浏览器检测...
子资源完整性SRI简介
凌晨港口
05-11 1172
子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制。是允许浏览器检查其获得的资源(例如从 CDN 获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。
webpack-subresource-integrity:用于启用Subresource完整性的Webpack插件
02-06
webpack-subresource-integrity Webpack插件,用于启用子资源完整性。 (SRI)是一项安全功能,使浏览器可以验证是否已交付获取的文件(例如,从CDN获取的文件)而没有意外的操作。 产品特点 与可选集成。 自动...
subresource_integrity_rewrite:重写平面HTML页面以包括所有第三方脚本的子资源完整性
05-05
子资源完整性(Subresource Integrity,SRI)是Web安全领域的一个重要概念,它允许开发者在引入外部资源,如JavaScript库、CSS文件或者字体时,验证这些资源是否在传输过程中被篡改。SRI通过在HTML的`<script>`或`...
SRI::file_cabinet:Subresource Integrity(SRI)哈希-排名第一的免费开放源CDN,旨在简化开发人员的生活
02-11
排名第一的免费开放源CDN,旨在使开发人员的生活更加轻松。 介绍 对于cdnjs上可用的每个文件,这是用于子资源完整性(SRI)哈希的仅机器人存储库。 其他资料库 有关控制我们在cdnjs上托管的库的JSON文件,请查看存储...
PyPI 官网下载 | subresource-integrity-0.2.tar.gz
02-02
"subresource-integrity-0.2.tar.gz"是一个在PyPI(Python Package Index)官网上可下载的压缩包文件,它包含了名为"subresource-integrity"的Python库的0.2版本。这个库主要涉及网络安全和前端开发中的子资源完整性...
Subresource Integrity(子资源一致性)和JS DDos 攻击
weixin_30423977的博客
12-09 546
以下文章转载自http://www.cnblogs.com/zoucaitou/p/4505483.html 和http://www.puronglong.com/blog//2015/04/12/%E4%BB%8Egithub%E9%81%AD%E5%8F%97%E6%94%BB%E5%87%BB%E7%9C%8BDDoS.html 分布式拒绝服务攻击(DDoS)攻击是一种针对网站发...
SRI使用攻略
蒙蒙细雨的博客
06-29 539
SRI使用注意项
网站安全整理总结
qq_53555672的博客
06-10 959
前端八股
使用 SRI 解决 CDN 劫持
weixin_34405332的博客
01-09 542
最近项目频频遇到 CDN 劫持的事情,学习到可以通过 Subresource Integrity 的方式有效应对。 SRI 简介 SRI 全称 Subresource Integrity - 子资源完整性,是指浏览器通过验证资源的完整性(通常从 CDN 获取)来判断其是否被篡改的安全特性。 通过给 link 标签或者 script 标签增加 integrity 属性即可开启 SRI 功能,比如: ...
动态添加含有脚本的scrip标签
weixin_30955341的博客
12-25 108
一般情况下,动态添加script脚本,通过添加script标签,设置src属性,来引入脚本。 如果不想通过src属性来引入,就是想直接写到script标签里面来引入(用来满足一些hack),怎么弄? 首先想到的是innerHTML属性,在现代浏览器没有问题,但是在IE中script是没有innerHTML属性。 要兼容IE,需要在script对象内,引入text节点,然后在text节点输入想...
漏洞修复之 SRI
波子汽水
11-02 5380
这几天,GitHub 宣布 启用 SRI 策略 ,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组( Web
AppScan扫描安全问题修复
ThisLX的博客
08-14 4536
AppScan扫描安全问题修复1、隐藏Nginx版本号2、缺少“Content-Security-Policy”头3、缺少“X-Content-Type-Options”头4、缺少“X-XSS-Protection”头5、已解密的登录请求6、会话标识未更新7、SRI (Subresource Integrity) 的检查 1、隐藏Nginx版本号 修改nginx.conf配置文件 http { ...
SRI (Subresource Integrity) 的检查
05-24
SRI (Subresource Integrity) 是一种安全机制,可以帮助保护网页免受恶意第三方脚本的攻击。它通过在引入外部资源(如脚本、样式表、图片等)时,附加一个 Hash 值,来确保浏览器只会加载经过验证的资源,从而防止恶意脚本的注入和执行。 当使用 SRI 时,浏览器会在加载资源前,检查资源的 Hash 值是否与预的值相符。如果不相符,则浏览器会认为资源已被篡改,并拒绝加载该资源。 要使用 SRI,可以在引用外部资源的标签中添加 integrity 属性,该属性的值为资源的 Hash 值。例如: ```html <script src="https://example.com/example.js" integrity="sha384-xxxx"></script> ``` 其中,sha384-xxxx 是资源的 Hash 值。通常可以使用工具自动生成 Hash 值,以确保正确性。 使用 SRI 可以有效提高网页的安全性,但需要注意的是,如果引用的资源本身就已经被篡改,则 SRI 也无法提供保护。因此,仍需注意选择可信赖的外部资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值