html – 图像和其他媒体的子资源完整性?

html – 图像和其他媒体的子资源完整性?,第1张

概述Subresource integrity似乎是一个令人敬畏的权宜之计,允许以安全的方式使用第三方控制的HTTP服务资源. 但是,the spec仅考虑HTMLLinkElement和HTMLScriptElement接口: NOTE A future revision of this specification is likely to include integrity support for Subresource integrity似乎是一个令人敬畏的权宜之计,允许以安全的方式使用第三方控制的http服务资源.

但是,the spec仅考虑HTMLlinkElement和HTMLScriptElement接口:

NOTE

A future revision of this specification is likely to include integrity support for all possible subresources,i.e.,a,audio,embed,iframe,img,link,object,script,source,track,and vIDeo elements.

据我所知,脚本和链接元素引用的内容更“活跃”,但是浏览器会删除绿色挂锁以通过普通http获取相对无害的图像,而规范选择忽略它们?这似乎是对我的远见卓识.

这背后的原因是什么?如果有的话,我们何时可以期待“未来的修订”?

解决方法 SRI为您提供一些保证,即您要求的资源未被更改.例如,如果您从CDN加载Jquery,那么您希望确保没有人修改它以包含恶意代码(从另一个站点加载代码的主要缺点之一 – 您隐含地信任该站点的安全性). SRI为您提供保证.

SRI对它的加载方式无话可说.您可以轻松地通过http下载Jquery并获得不安全的内容警报,尽管它已经过SRI验证.

由于许多原因,不安全的内容很糟糕,包括:

>不保证内容未在线路上更改(SRI在某种程度上解决).
> cookie泄漏(除非受Secure属性保护).
>隐私泄露(一个窥探者知道你已经请求了这个资源).

SRI仅解决第一个问题.即便如此,它只会在被改变时停止加载,并且不会降低它被改变的机会(如https那样).

如果您想解决不安全的内容问题,那么您可以查看内容安全策略,或者显式阻止它们,或者使用upgrade-insecure-requests指令自动升级它们(对于支持此问题的浏览器).

总结

以上是内存溢出为你收集整理的html – 图像和其他媒体的子资源完整性?全部内容,希望文章能够帮你解决html – 图像和其他媒体的子资源完整性?所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/web/1061754.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-25
下一篇 2022-05-25

发表评论

登录后才能评论

评论列表(0条)

保存