我正在开发一些场景,其中一些JavaScript文件将托管在CDN上.我希望有一些机制,以便在用户端下载这些文件时,我可以确保文件没有被篡改,并且确实来自指定的CDN.
我知道如果我使用SSL,任务很容易,但我仍然希望确保即使在没有SSL的HTTP上也能提供正确的文件.
据我所知,没有现成的机制,如JavaScript文件的数字签名,跨平台支持.也许不需要它?
是否有一些内置于浏览器中的方法来验证JavaScript文件的作者?我能以安全的方式做些什么吗?
我正在实施子资源完整性检查。我想实现一个回退,以便 1) 浏览器从我的 CDN 加载,执行完整性检查并继续执行或 2) 在完整性检查失败的情况下,嵌入式脚本启动并从我的应用程序中检索所需的脚本服务器(我控制的资源)。
我有一个简单的 javascript 可以捕获 window.onerror 事件,但该脚本实际上正在检测未捕获的 ReferenceError(我的页面引用了外部资源中的脚本),而不是浏览器错误“无法找到有效的摘要...”。
有没有人找到检测完整性检查失败的方法,然后使用javascript从更受信任的位置拉取第三方托管资源?