subsource integrity 子资源完整性

最新推荐文章于 2024-06-20 12:54:56 发布
最新推荐文章于 2024-06-20 12:54:56 发布
阅读量433 收藏
点赞数
分类专栏: html 文章标签: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44365748/article/details/127336658
版权
子资源完整性是一种防止CDN或第三方提供者篡改引入的JS文件的技术。通过添加'integrity'属性和'crossorigin'属性,结合加密签名(如sha256-base64的文件哈希),确保内容未经修改。服务器端需设置Access-Control-Allow-Origin响应头配合此机制。然而,实际应用中可能会遇到签名不符的问题,需注意浏览器计算的哈希值与预期不同。
摘要由CSDN通过智能技术生成

一、子资源完整性

目的是为了保证引入的第三方js不被cdn或提供方更改。就是添加一个签名。

二、配置

<script src="http://image.com/static/test.js" integrity="sha384-mI5teY/KdT3jQMWU1ckJBeqABhRQf8GTGOk0EZeHv5FyJakScSQ1so7/qkxHLcP1" crossorigin="anonymous"></script>

如上有两个属性:integrity 和 crossorigin,前者为签名,不加后者浏览器会报错。

1. 签名组成:

加密方式(如sha256)-base64编码的文件hash值。

</

最低0.47元/天 解锁文章
小白日常
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web页面资源完整性校验详细指南
dreamapplehappyapple的专栏
09-20 1281
时间过得好快,距离上一篇文章动手写一个简单的编译器:在JavaScript使用Swift的尾闭包语法发布已经过去快半年了,这半年时间也一直在想着按时更新文章;但是因为工作和生活的琐事,没有能够坚持下来。有点惭愧,感觉之前年初立下的计划快要实现不了了。希望接下来的这一段时间能够坚持更新文章吧。 这次要跟大家分享的是关于Subresource Integrity资源完整性)的内容。如果平时对Web安全关注不是很多的话,可能没怎么听过这个术语。不知道也没关系,接下来我会跟大家一起来研究讨论一下这个内容,相信
webappsec-subresource-integrity:WebAppSec资源完整性
05-07
资源完整性 编辑草稿: : 规范文本使用编写。 编辑index.bs ,可以通过在命令行上键入make来生成新HTML草稿。 请注意,这需要活动的Internet连接才能下载最新的配置文件。 您可以通过键入make publish (将本地master分支推送到GitHub的gh-pages分支)来发布新的草稿。 请不要修改spec_v1.markdown或其编译文件index.kramdown.html 。 这些是规范版本1的规范文件,该文件最初是用Kramdown编写的,但是现在仅在index.bs完成工作。 拉取请求愉快地进行了审查。
使用AWVS扫描某web站点
最新发布
somnus981的博客
06-20 281
使用AWVS新增加一个目标,开始对该web站点进行扫描:扫描完成:描述:服务器通过TLS 1.1协议加密,不符合支付卡行业(PCI)数据安全标准(DSS)。PCI DSS建议使用TLS 1.2或更高版本。自2018年6月30日起,PCI要求禁用SSL/早期TLS并实施更安全的加密协议(TLS1.1或更高版本,推荐TLS 1.2)。发现:发现TLS1.1已启用攻击细节:SSL服务器(端口:443)使用TLSv1.1加密流量。漏洞影响:攻击者可能利用此问题进行间人攻击,并解密受影响服务与客户端之间的通信。如何
GitHub 实现了资源完整性(SRI)
weixin_34380296的博客
07-08 422
实现资源完整性Subresource Integrity)之后,使用 GitHub 比以前更加安全了。SRI 会让你的浏览器仔细检查我们的内容分发网络(Content Delivery Network)是否正确地发送 JavaScript 和 CSS 到你的浏览器上。如果没有 SRI ,攻击者破解了我们的 CDN 后,就能够发送恶意的 JavaScr...
用于启用资源完整性的Webpack插件
08-07
用于启用资源完整性的Webpack插件
js--script和linkintegrity 属性
weixin_34293902的博客
07-19 506
<link crossorigin="anonymous" integrity="sha256-+hDz/gVbhp24mhOmoIT4Du4F3K5fs9fjjoe0rP5gSLs=" rel="stylesheet" href="/assets/css/home.css" /> link或scriptintegrity 属性:为了防止 CDN 篡改 javascrip...
漏洞修复之 SRI
波子汽水
11-02 5437
这几天,GitHub 宣布 启用 SRI 策略 ,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:资源完整性(草案),它也是由 Web 应用安全工作组( Web
信号完整性-教程~Signal Integrity Introduction~intel
04-09
信号完整性(Signal Integrity,简称SI)是现代高速数字设计不可或缺的一个重要概念,它涉及到电设备的信号传输质量,确保信息在系统内的准确无误传递,同时避免信号间的相互干扰,防止信号对设备造成损害,...
ssri:npm的资源完整性
04-29
是Standard Subresource Integrity(标准资源完整性)的缩写,是一个Node.js实用程序,用于解析,操纵,序列化,生成和验证哈希。 安装 $ npm install --save ssri 目录 解析和序列化 Integrity#concat ...
sri-hash-generator:资源完整性(SRI)哈希生成器(PWA)
03-25
资源完整性(SRI)发电机渐进式Web应用程序(PWA),将产生integrity基于给定的资源。 无论是输入资源的链接或删除本地文件来计算,可以使用,因为它的哈希integrity属性。 脱机工作。 注意:如果提供网上链接,...
【Bootstrap】bootstrap快速入门
南北极之间
05-12 847
下载: 安装后:有3个文件夹: css,字体,js jQuery需要自己下载 ******** 新建一个文件: 成功。 第一个bootstrap文件: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF...
引入bootstrap报错Failed to find a valid digest in the ‘integrity‘ attribute for resource
我心坚持
04-13 2301
原本文件: <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@4.6.1/dist/css/bootstrap.min.css" integrity="sha384-p1KAotb3W9ndluCsqePPYnjRm3c6abdnIjo0tQwYUv83VsbsYd43RuofnFAaDo0E" crossorigin="anonymous"> 修改后文件:即去掉最后两个参数 <link rel=".
Web 安全之 SRI(Subresource Integrity 资源完整性)详解
路多辛的所思所想
08-23 1720
SRI,全称是 Subresource Integrity,即资源完整性,是一种用于防范恶意攻击和提高网站安全性的策略,可以用来防止网站引用的资源(例如 JavaScript、CSS、图片等)被篡改。这个策略是通过在引用资源时提供一个对应的哈希来实现的,浏览器在加载资源时会计算其哈希,如果计算的哈希与对应的哈希不相等,浏览器就不会加载这个资源
html css integrity,integrity 属性
weixin_39797381的博客
06-18 1311
一个有用的推论是 document.head 在任何写在网页上的 JavaScript 几乎总是可用。document.body 只有当你将 script 标签写在 标签或者它之后的时候才可用。async 和 deferHTML5 添加了两个工具来控制脚本的执行。async表示“不用马上执行它”。更具体地它表示:我不介意你在整个网页加载完成之后执行这个脚本,把它放在其他脚本执行之后。这对于统计分...
学习bootstrap遇到的第一个问题
weixin_57062916的博客
08-17 346
学习bootstrap遇到的第一个问题
Failed to find a valid digest in the ‘integrity‘ attribute for resource解决办法
热门推荐
ohdajing的博客
04-17 1万+
被这个错误坑了好多天 前提:框架Blazor 项目在本地运行没问题,发布到服务器后,报错在资源的“完整性属性找不到有效摘要 找解决办法的过程开始以为是跨域资源共享和资源完整性问题,详见:https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity#cross-origin_resource_sharing_and_subresource_integrity 使用以下<script>元素..
Subresource Integrity(资源一致性)和JS DDos 攻击
weixin_30423977的博客
12-09 547
以下文章转载自http://www.cnblogs.com/zoucaitou/p/4505483.html 和http://www.puronglong.com/blog//2015/04/12/%E4%BB%8Egithub%E9%81%AD%E5%8F%97%E6%94%BB%E5%87%BB%E7%9C%8BDDoS.html 分布式拒绝服务攻击(DDoS)攻击是一种针对网站发...
【第1111期】Subresource Integrity 介绍
前端早读课
11-16 956
前言 SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。 正文从这开始~ 这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource
Altium Designer的信号完整性分析指南
信号完整性(Signal Integrity,简称SI)是电设计领域的一个关键概念,特别是在当前高密度、高速电路设计的趋势下,确保信号的准确无误传输显得尤为重要。 信号完整性问题主要表现为在高速数字系统,由于脉冲...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值