min*_*inj 6 html https w3c image subresource-integrity
子资源完整性似乎是一个绝妙的权宜之计,允许以安全的方式使用第三方控制的HTTP服务资源。
但是,该规范仅考虑HTMLLinkElement和HTMLScriptElement接口:
注意
本规范的未来版本可能会包括对所有可能的子资源完整性的支持,即
a,audio,embed,iframe,img,link,object,script,source,track,和video元素。
我知道script和link元素所指的内容更加“活跃”,但是浏览器删除了绿色的挂锁,以便通过纯HTTP甚至获取相对无害的图像,而规范选择忽略它们?对我来说,这似乎是极缺乏远见的。
这背后的原因是什么,我们什么时候可以期待“未来修订”?
SRI 向您提供一些保证,确保您所请求的资源没有被更改。例如,如果您从 CDN 加载 JQuery,那么您需要确保没有人修改它以包含恶意代码(从另一个站点加载代码的主要缺点之一 - 您隐含地信任该站点的安全性)。SRI 为您提供这样的保证。
SRI 没有透露它是如何加载的。您可以轻松地通过 http 下载 JQuery 并获得不安全内容警报,尽管它已经过 SRI 验证。
不安全的内容不好的原因有很多,包括:
SRI 仅解决第一个问题。即使这样,它也只会在它被更改时停止加载,并且不会减少它被更改的机会(就像 https 那样)。
如果您想解决不安全的内容问题,那么您可以查看内容安全策略,要么显式阻止这些问题,要么使用upgrade-insecure-requests指令自动升级它们(对于支持此功能的浏览器)。
| 归档时间: |
|
| 查看次数: |
618 次 |
| 最近记录: |