我的网站使用具有integrity属性(也称为 SRI,子资源完整性)的样式表和脚本资源,并且在某些情况下,缓存策略目前最长可达几周,例如cache-control: max-age=1209600 HTTP header两周。 HTML 中的链接文件示例:<link rel="styles ...
我的网站使用具有integrity属性(也称为 SRI,子资源完整性)的样式表和脚本资源,并且在某些情况下,缓存策略目前最长可达几周,例如cache-control: max-age=1209600 HTTP header两周。 HTML 中的链接文件示例:<link rel="styles ...
我正在尝试在我的config-overrides.js ( react-app- rewired )上配置webpack-subresource-integrity包: 我收到TypeError: Cannot read property 'tap' of undefined 我已经尝试删除我 ...
我正在尝试对网页实施子资源完整性。 我有一个内联 javascript,它是根据某些变量动态构建的, 对于指定为 URL 的一部分的每个动态值,都会呈现文件的单独内容。 由于完整性 hash 是根据内容计算的,因此实际上不可能预先计算脚本标签的 hash(因为 DYNAMIC_VALUE 可以是 ...
例如,我在 Angular 中了解,在构建项目时,您可以使用以下命令自动添加子资源完整性 (SRI) 标签: 我的问题是,在运行该命令时,我如何知道创建的 hash 不是来自恶意 CDN? 我觉得这就像我可能永远不知道的鸡和蛋的问题? ...
我在我的项目中有两件事要完成,第一件事是隐藏图像路径,这是通过使用参数从 imageConvert.php 动态加载图像(imageJPEG)来完成的,第二件事是我需要实现客户端浏览器缓存, 为此我使用 之前(使用正常的图像路径),但它不适用于动态图像加载。 有没有人对此有解决方案。 提前致谢。 ...
为了让我的网站获得更快的响应,我按照 Google Lighthouse 的建议使用了这个技巧来后加载 fonts: 但由于我严格的 CSP 规则,它失败了,我不知道如何为这个“onload”属性添加 sha384 hash:/ 我试图像这样获取onload内容 hash: Output: npW ...
SRI - Firebase 上的子资源完整性安全功能我想在 Firebase 上实现子资源完整性安全功能。 我的推送通知是 OneSignal 网站的基本设置,由 CDN 提供服务,但现在我正在处理 CORS 问题。 尝试通过 Access-Control-Allow-Origin heade ...
这是上下文: 我使用带有 api 平台的 Symfony 3.4。 我有两个 class: 供应商产品我想列出所有供应商的产品在供应商实体中,我在常规 CRUD 方法上实现了 access_control,该方法适用于选民。 我还有一条通过无法正常工作的子资源的路线: 问题是,子资源的访问控制不起作 ...
我想对Subresource Integrity属性进行软集成 ,因此请确保我没有破坏应用程序, 而只是警告我需要修复某些地方。 是否可以选择这样做? ...
我在9180端口的本地上有一个测试页,该页面正在从另一个端口加载JS以模拟不同的域。 myscript.js 在浏览器上运行此命令时,我在控制台上看到错误,但仍会触发警报 我想念什么吗? 或由于本地浏览器允许执行脚本。 ...
消费者网站(例如nytimes.com)是否有办法确保自己加载的iframe无法与ahy服务器通信,而只能访问postMessage? 这可以从托管iframe文档的服务器上完成。 但我不想信任该服务器。 这是我需要的:我想使用微妙的密码存储不可解压的非对称密钥,并使用由第三方审核的内 ...
我有一些网页试图从file:///加载到我的浏览器中,并且我在 JS 和 CSS 上有完整性哈希。 JS 和 CSS 不会加载<link>和<script>标签中存在的完整性哈希,但加载时删除了它。 我有以下<script>标签: ...
我正在使用最新的 (4.9.8) WordPress,目前正在向<script>标签添加完整性属性。 /wp-includes/js/jquery/jquery.js的版本是1.12.4 。 对此的 SRI(哈希)是 sha256-/EjR2A7OcaeaezmHf0EE1J09ps ...
我在angularjs的资产文件夹中有2个脚本。 我使用https://hash.online-convert.com/sha384-generator为它们生成了完整性哈希。 在我的本地主机中一切正常。 但是在服务器中,只有IE可以工作,但是firefox和chrome告知哈希与内容不匹 ...
<script>接受integrity属性,因此我可以安全地加载模块: <script type="module" src="https://example.com/module.mjs" integrity="sha256-2Kok7MbOyxpgUVvAk/HJ2ji ...
我最近发现了以下漂亮的小站点,用于为外部加载的资源生成子资源完整性 (SRI) 标签。 例如,输入最新的 jQuery URL ( https://code.jquery.com/jquery-3.3.1.min.js ),得到如下<script>标签: <script src= ...
这是 bootstrap 的官方 CDN 样式表: 但是,在我的标记中,我不会对版本进行硬编码,因为这可能会改变,所以我将它从我的构建系统或应用程序中拉出来。 一个虚构的例子: 如您所见, $VERSION不是硬编码的。 因此,我可以在构建过程中(在package.json )更改我使用的版 ...
在jekyll网站上,我添加了一个插件( http://flexslider.woothemes.com/ ),直到Edge16及以下浏览器都可以正常工作,但是在Edge17中,我看到了控制台消息: SEC7136: [Integrity] The origin '[insert url]' ...
我决定将 SRI 添加到我们的 CDN 脚本中,但我想测试它是否有效。 如果我手动更改哈希,脚本仍会加载。 我期待控制台中出现某种错误代码或其他内容。 例如,这是正确的哈希: 如果我将每个 sha 散列中的第一个字符更改为: 我希望它失败。 但事实并非如此。 在 Firefox 58.0. ...
recurly.js可以与SRI integrity一起使用吗? 我注意到这个问题,后者禁区指出,完整性散列包括在发行说明,其中他们 。 但是,当我尝试在Codepen上进行测试时: 我在JavaScript控制台中收到此错误: 子资源完整性:资源' https://j ...