Bri*_*unt 5 html css fonts subresource-integrity
如何将SRI用于.cssCDN中包含的文件所包含的资源.
例如,如果您在HTML中包含此内容:
<link href="https://maxcdn.bootstrapcdn.com/font-awesome/4.7.0/css/font-awesome.min.css" rel="stylesheet" integrity="sha384-wvfXpqpZZVQGK6TAh5PVlGOfQNHSoD2xbE+QkPxCAFlNEevoEH3Sl0sibVcOQVnN" crossorigin="anonymous">
这将加载通过CSS包含的字体,例如url('../fonts/fontawesome-webfont.woff2?v=4.7.0') 当然,这些字体可能被篡改,以利用一些不为人知的浏览器漏洞利用,因此强制执行散列检查也是有意义的.
如何告诉浏览器执行fontawesome-webfont.*通过.css?加载的文件的SRI-hash ?
注意:看起来不支持子子资源哈希,但我不确定这是否是最新的.