サブリソース完全性 (SRI)
サブリソース完全性 (SRI) とは何ですか?
サブリソース完全性 (SRI)サードパーティから読み込んだスクリプトやスタイルシートを実行する前に、ブラウザが暗号学的ハッシュを検証し、改ざんされたファイルの実行を防ぐ仕組み。
SRI は script タグや link タグの「integrity」属性で設定し、期待するファイルの SHA-256/384/512 base64 ダイジェストを 1 つ以上指定します。ブラウザはリソースを取得後に再計算し、ハッシュが一致しなければ実行や適用を拒否します。SRI は CDN 侵害・サードパーティスクリプトの乗っ取り・Magecart のようなクライアント側サプライチェーン攻撃に対する主要な防御策です。CSP や crossorigin 属性と自然に組み合わせて使い、バージョン固定と自動更新ワークフローでハッシュとコードを同期させる必要があります。
● 例
- 01
「<script src="https://cdn.example.com/lib.js" integrity="sha384-..." crossorigin="anonymous"></script>」。
- 02
CSP の「require-sri-for script style」ディレクティブで、すべてのサブリソースに SRI を強制する(対応環境)。
● よくある質問
サブリソース完全性 (SRI) とは何ですか?
サードパーティから読み込んだスクリプトやスタイルシートを実行する前に、ブラウザが暗号学的ハッシュを検証し、改ざんされたファイルの実行を防ぐ仕組み。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
サブリソース完全性 (SRI) とはどういう意味ですか?
サードパーティから読み込んだスクリプトやスタイルシートを実行する前に、ブラウザが暗号学的ハッシュを検証し、改ざんされたファイルの実行を防ぐ仕組み。
サブリソース完全性 (SRI) からどのように防御しますか?
サブリソース完全性 (SRI) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
サブリソース完全性 (SRI) の別名は何ですか?
一般的な別名: SRI。