問題タブ [subresource-integrity]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

64 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
1 に答える
108 参照

browser - サブリソースの整合性 Opera ブラウザのサポート?

Opera SRI のサポートが不明なのはなぜですか? Mozilla Developer Network ページでは、さまざまなブラウザーと、それらが SRI をサポートしているかどうかを示しています。Opera は不明、なぜ Opera は不明なのか? SRI サポートのために、Opera をテストする方法はありませんか?

0 投票する
1 に答える
1353 参照

python - サブリソースの整合性保護の欠落

Heroku で django ブログ アプリケーションをステージングしました。今のところすべて正常に動作していますが、Missing Subresource Integrity Protection.

私はherokuアドオンを使用するのはかなり新しいですが、セキュリティのためにスズをセットアップしました。最初のスキャンの後、3つの脆弱性が発生しました. スキャン結果は、私が であることを示していますMissing Subresource Integrity Protection。彼らは私にこれを提案しました:

このことから何かを学ぶことができるように、これが何を意味するのか、そしてこの種の状況を回避できるように将来何をすべきかを誰かが説明してもらえますか?

0 投票する
1 に答える
1984 参照

javascript - PHP でのサブリソースの整合性とキャッシュ無効化手法

アプリケーションのスタイルシートや JavaScript ファイルなどの静的アセットに対して、サブリソース整合性キャッシュ バスティングを実装したいと考えています。現在、Twig テンプレートで PHP を使用しています。

すべての JS ファイルと CSS ファイルのハッシュを生成するツールがたくさんあることは知っていますが、何百ものファイルの<script>および<link>タグにハッシュを実装する方法を探しています。

このブログ投稿では、私がやろうとしていることのほとんどを説明しましたが、著者はキャッシュの無効化についてのみ説明し、毎回手動で変更するファイル名に静的なタイムスタンプを使用しています。ビルド ツールを使用してそのタイムスタンプをプログラムで生成することも難しくありませんが、SRI を使用すると、値はファイルごとに異なるハッシュになります。

たとえば、次のスニペットheader.html.twig:

src/hrefおよびintegrity属性を毎回変更するのは、適切な方法ではありません。

PHP 関数を呼び出して毎回ファイルをハッシュする Twig 関数を作成することもできます。開発環境では問題なく動作する可能性がありますが、計算コストが非常に高くなるようです。

これに対する実行可能なアプローチは何ですか?

0 投票する
3 に答える
25448 参照

javascript - HTML の整合性属性の目的は何ですか?

私はブートストラップのサイトにいましたが、最近、彼らの CDN リンクに SHA-384 キーを持つ整合性属性が含まれていることに気付きました。

これはスクリプトのソースを検証するためのものだと思いますが、それがどのように使用されているのか、またこれが仕様の一部なのかどうかについても疑問に思っていました。

さらに、これはスクリプト src でのみ機能しますか、それとも同じオリジン以外のソースでも機能しますか?

0 投票する
1 に答える
1198 参照

html - 画像やその他のメディアのサブリソースの整合性?

サブリソースの整合性は、サードパーティが制御する HTTP で提供されるリソースを安全な方法で使用できるようにする素晴らしい一時しのぎのようです。

ただし、仕様は次のことのみを考慮HTMLLinkElementしてHTMLScriptElementインターフェースします。

ノート

この仕様の将来の改訂では、可能性のあるすべてのサブリソース ( 、、 、 、 、 、 、aaudioおよびembed要素iframe)imglink整合object性サポートがscript含まれる可能性があります。sourcetrackvideo

scriptおよび要素によって参照されるコンテンツがより「アクティブ」であることは理解してlinkいますが、ブラウザはプレーンな HTTP 経由で比較的無害な画像を取得するために緑色の南京錠を削除しますが、仕様はそれらを無視することを選択していますか? これは、私にとって大きな先見の明の欠如のようです。

この背後にある理由は何でしたか? また、「将来の改訂」はいつ期待できますか?

0 投票する
2 に答える
23853 参照

twitter-bootstrap - 「リソースでは CORS を有効にするリクエストが必要です... 整合性を強制できないため、リソースがブロックされました」エラーを解決する方法

プロジェクトでブートストラップ アイコンを使用しているため、エラーが発生します

サブリソースの整合性: リソース ' http://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css ' には整合性属性がありますが、リソースは整合性をチェックするためにリクエストが CORS 対応である必要があります。そうではありません。整合性を強制できないため、リソースがブロックされました。

この問題を解決するのを手伝ってくれる人はいますか?本番環境に移行すると、アイコンが読み込まれません。

だから私はブートストラップアイコンのために以下のリンクを使用しています


12345678910