如何用 Subresource Integrity (SRI) 确保外部脚本未被篡改
如何利用 Subresource Integrity (SRI) 技术保障外部脚本安全,防止篡改
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
首先需要明确一个核心认知:切勿将 SRI 视为一个“开启即安全”的万能开关。它的防护机制仅在脚本地址固定、哈希值绝对精确、且浏览器完全支持的前提下才会生效。若使用场景不当,SRI 反而可能成为功能故障的源头,直接阻断关键脚本加载,导致页面出现白屏或功能异常。
深入解析 SRI 的 integrity 属性:它究竟校验什么?
要掌握 SRI 的精髓,关键在于理解 integrity 属性的工作原理。它的核心任务并非校验域名或 SSL 证书的有效性,而是对远程资源(例如托管在 CDN 上的 lodash.min.js)的响应体内容本身,执行一次严格的密码学哈希比对。浏览器在下载完脚本文件后,会立即计算其内容的 SHA-256、SHA-384 或 SHA-512 哈希值,并与你在 integrity 属性中预先配置的哈希值进行匹配——一旦两者不符,浏览器将直接拒绝执行该脚本,且不会触发任何 onerror 事件。
- 该属性必须与
crossorigin属性搭配使用。缺少此搭档,浏览器会直接忽略integrity,导致所有安全防护措施失效。 - 哈希值必须与服务器返回的实际响应体内容达到比特级别的完全一致,包括换行符、BOM 头、压缩状态等细节。本地构建时,代码压缩工具(minifier)的微小差异都可能导致校验失败。
- 目前,SRI 仅支持