如何用 Subresource Integrity (SRI) 确保外部脚本未被篡改
热心网友
47
转载
如何利用 Subresource Integrity (SRI) 技术保障外部脚本安全,防止篡改
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
首先需要明确一个核心认知:切勿将 SRI 视为一个“开启即安全”的万能开关。它的防护机制仅在脚本地址固定、哈希值绝对精确、且浏览器完全支持的前提下才会生效。若使用场景不当,SRI 反而可能成为功能故障的源头,直接阻断关键脚本加载,导致页面出现白屏或功能异常。
深入解析 SRI 的 integrity 属性:它究竟校验什么?
要掌握 SRI 的精髓,关键在于理解 integrity 属性的工作原理。它的核心任务并非校验域名或 SSL 证书的有效性,而是对远程资源(例如托管在 CDN 上的 lodash.min.js)的响应体内容本身,执行一次严格的密码学哈希比对。浏览器在下载完脚本文件后,会立即计算其内容的 SHA-256、SHA-384 或 SHA-512 哈希值,并与你在 integrity 属性中预先配置的哈希值进行匹配——一旦两者不符,浏览器将直接拒绝执行该脚本,且不会触发任何 onerror 事件。