問題タブ [subresource-integrity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - analytics.js (google-analytics) のサブリソース整合性 (SRI) を実装する Mozilla Obersvatory
バックグラウンド
次のようなGoogleアナリティクスを使用するサイトがあります
Mozilla Observatory を使用してセキュリティ上の欠陥をテストします。
問題
Mozilla Observatory から次の問題があります。
Subresource Integrity (SRI) は実装されていませんが、すべての外部スクリプトは HTTPS 経由で読み込まれます
これまでの考え
https://www.srihash.org/のように、ハッシュを作成することはできないようです。analytics.jsまた、変更するとサイトが破損するため、ハッシュをローカルで作成したくありません。
を使用できますが、nonceリクエストごとにこれをどのように生成するかわかりません。
代わりにダウンロードanalytics.jsしてローカルで使用することを検討していました。これを行うことの欠点はありますか?
前もって感謝します
c# - .NET MVC (4.7.2) アプリケーションの ScriptBundle に SRI ハッシュを含めるにはどうすればよいですか?
現在、バンドルは共通ライブラリのローカル コピーを使用しています。
私は CDN を使用するように変換したいと考えており、ハッシュ値を含めることで SRI に準拠していることを確認したいと考えています。バンドル構成で CDN を使用するための記事はたくさんありますが、SRI ハッシュを含める方法や、バンドル時に crossorigin タグを使用する方法については何も見つかりませんでした。
助けてください。