Subresource Integrity (SRI)
Was ist Subresource Integrity (SRI)?
Subresource Integrity (SRI)Browser-Mechanismus, der den kryptografischen Hash eines von Dritten geladenen Skripts oder Stylesheets vor der Ausführung prüft und manipulierte Dateien blockiert.
SRI wird über das Attribut 'integrity' an 'script'- oder 'link'-Tags konfiguriert und enthält einen oder mehrere Base64-codierte SHA-256/384/512-Digests der erwarteten Datei. Der Browser lädt die Ressource, berechnet den Digest neu und verweigert die Ausführung oder Anwendung, wenn die Werte abweichen. SRI ist die Hauptabwehr gegen CDN-Kompromittierungen, gekaperte Drittskripte und Lieferkettenangriffe auf Client-Code wie die Magecart-Familie. Sie fügt sich nahtlos in CSP und das 'crossorigin'-Attribut ein und sollte mit Versions-Pinning sowie automatisierten Update-Workflows kombiniert werden, damit Hash und Code synchron bleiben.
● Beispiele
- 01
'<script src="https://cdn.example.com/lib.js" integrity="sha384-..." crossorigin="anonymous"></script>'.
- 02
CSP-Direktive 'require-sri-for script style' (wo unterstützt), um SRI für alle Subressourcen zu erzwingen.
● Häufige Fragen
Was ist Subresource Integrity (SRI)?
Browser-Mechanismus, der den kryptografischen Hash eines von Dritten geladenen Skripts oder Stylesheets vor der Ausführung prüft und manipulierte Dateien blockiert. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Subresource Integrity (SRI)?
Browser-Mechanismus, der den kryptografischen Hash eines von Dritten geladenen Skripts oder Stylesheets vor der Ausführung prüft und manipulierte Dateien blockiert.
Wie schützt man sich gegen Subresource Integrity (SRI)?
Schutzmaßnahmen gegen Subresource Integrity (SRI) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Subresource Integrity (SRI)?
Übliche alternative Bezeichnungen: SRI.