サブリソースの整合性は、サードパーティが制御する HTTP で提供されるリソースを安全な方法で使用できるようにする素晴らしい一時しのぎのようです。
ただし、仕様は次のことのみを考慮HTMLLinkElementしてHTMLScriptElementインターフェースします。
ノート
この仕様の将来の改訂では、可能性のあるすべてのサブリソース ( 、、 、 、 、 、 、
a、audioおよびembed要素iframe)imgのlink整合object性サポートがscript含まれる可能性があります。sourcetrackvideo
scriptおよび要素によって参照されるコンテンツがより「アクティブ」であることは理解してlinkいますが、ブラウザはプレーンな HTTP 経由で比較的無害な画像を取得するために緑色の南京錠を削除しますが、仕様はそれらを無視することを選択していますか? これは、私にとって大きな先見の明の欠如のようです。
この背後にある理由は何でしたか? また、「将来の改訂」はいつ期待できますか?
SRI は、要求しているリソースが変更されていないことを保証します。たとえば、CDN から JQuery をロードしている場合、悪質なコードを含むように変更されていないことを確認する必要があります (別のサイトからコードをロードすることの主な欠点の 1 つ - そのサイトのセキュリティを暗黙的に信頼していることになります)。SRIはその保証を提供します。
SRI は、それがどのように読み込まれるかについて何も言いません。JQuery を http 経由で簡単にダウンロードし、SRI によって検証されているにもかかわらず、安全でないコンテンツのアラートを受け取ることができます。
安全でないコンテンツは、次のようなさまざまな理由で好ましくありません。
SRI はその最初の問題のみに対処します。それでも、変更された場合にのみロードが停止され、変更される可能性は減りません (https のように)。
安全でないコンテンツの問題に対処したい場合は、代わりに Content Security Policy を参照して、それらを明示的にブロックするか、upgrade-insecure-requests ディレクティブを使用して自動的にアップグレードすることができます (これをサポートするブラウザーの場合)。