Целостность субресурсов или SRI - это рекомендация W3C по обеспечению метода защиты доставки веб-сайтов. В частности, он проверяет активы, обслуживаемые третьей стороной, например сеть доставки контента (CDN). Это гарантирует, что эти активы не будут скомпрометированы во враждебных целях. SRI был создан в ответ на ряд атак, когда в контент, обслуживаемый CDN, был внедрен вредоносный код, что поставило под угрозу тысячи использующих его веб-сайтов. [1]
Чтобы использовать SRI, автор веб-сайта, желающий включить ресурс от третьей стороны, может указать криптографический хэш ресурса в дополнение к его местонахождению. Браузеры, получающие ресурс, могут затем сравнить хэш, предоставленный автором веб-сайта, с хешем, вычисленным из ресурса. Если хеши не совпадают, ресурс отбрасывается. [2]
Образец script
элемент с integrity
и crossorigin
атрибут , используемый SRI:
<script src = " https://cdn.example.com/app.js " целостность = "sha384 - + / M6kredJcxdsqkczBUjMLvqyHb1K / JThDXWsBVxMEeZHEaMKEOEct339VItX1zB" crossorigin = "анонимный"> </script>
Ссылки [ править ]
- ^ "Сеть CDN Афганистана взломана китайскими хакерами" .
- ^ «Целостность субресурсов» . Сеть разработчиков Mozilla . Проверено 14 апреля 2016 года .