Целостность подресурсов (SRI)
Что такое Целостность подресурсов (SRI)?
Целостность подресурсов (SRI)Механизм браузера, проверяющий криптографический хеш загруженного со стороннего источника скрипта или таблицы стилей до его выполнения и блокирующий изменённые файлы.
SRI задаётся атрибутом 'integrity' на тегах 'script' или 'link' и содержит один или несколько base64-кодированных дайджестов SHA-256/384/512 ожидаемого файла. Браузер загружает ресурс, пересчитывает дайджест и отказывается выполнять или применять его, если значения не совпадают. SRI — основная защита от компрометации CDN, угона сторонних скриптов и атак на цепочку поставок клиентского кода вроде Magecart. Он естественно сочетается с CSP и атрибутом 'crossorigin', а также требует фиксации версий и автоматизированных обновлений, чтобы хеш и код оставались синхронизированы.
● Примеры
- 01
'<script src="https://cdn.example.com/lib.js" integrity="sha384-..." crossorigin="anonymous"></script>'.
- 02
Директива CSP 'require-sri-for script style' (где поддерживается) для обязательного SRI на всех подресурсах.
● Частые вопросы
Что такое Целостность подресурсов (SRI)?
Механизм браузера, проверяющий криптографический хеш загруженного со стороннего источника скрипта или таблицы стилей до его выполнения и блокирующий изменённые файлы. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Целостность подресурсов (SRI)?
Механизм браузера, проверяющий криптографический хеш загруженного со стороннего источника скрипта или таблицы стилей до его выполнения и блокирующий изменённые файлы.
Как защититься от Целостность подресурсов (SRI)?
Защита от Целостность подресурсов (SRI) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Целостность подресурсов (SRI)?
Распространённые альтернативные названия: SRI.