但是,the spec仅考虑HTMLlinkElement和HTMLScriptElement接口:
NOTE
A future revision of this specification is likely to include integrity support for all possible subresources,i.e.,
a,audio,embed,iframe,img,link,object,script,source,track,andvIDeoelements.
据我所知,脚本和链接元素引用的内容更“活跃”,但是浏览器会删除绿色挂锁以通过普通http获取相对无害的图像,而规范选择忽略它们?这似乎是对我的远见卓识.
这背后的原因是什么?如果有的话,我们何时可以期待“未来的修订”?
解决方法 SRI为您提供一些保证,即您要求的资源未被更改.例如,如果您从CDN加载Jquery,那么您希望确保没有人修改它以包含恶意代码(从另一个站点加载代码的主要缺点之一 – 您隐含地信任该站点的安全性). SRI为您提供保证.SRI对它的加载方式无话可说.您可以轻松地通过http下载Jquery并获得不安全的内容警报,尽管它已经过SRI验证.
由于许多原因,不安全的内容很糟糕,包括:
>不保证内容未在线路上更改(SRI在某种程度上解决).
> cookie泄漏(除非受Secure属性保护).
>隐私泄露(一个窥探者知道你已经请求了这个资源).
SRI仅解决第一个问题.即便如此,它只会在被改变时停止加载,并且不会降低它被改变的机会(如https那样).
如果您想解决不安全的内容问题,那么您可以查看内容安全策略,或者显式阻止它们,或者使用upgrade-insecure-requests指令自动升级它们(对于支持此问题的浏览器).
总结以上是内存溢出为你收集整理的html – 图像和其他媒体的子资源完整性?全部内容,希望文章能够帮你解决html – 图像和其他媒体的子资源完整性?所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)