内容简介:前端验证子资源完整性 (SRI)
Subresource Integrity 是一项安全功能,可让浏览器验证其抓取的文件的哈希值,以确认安全,有效防止中间人攻击。
我们来试验一下,写如下两个 script
标签。运行后浏览器会弹窗,一切正常。
<script src="./hello.js"></script>
alert('Congratulations! Hash Verified.')
我们试着给资源随便加上一个错误的 SRI,如下。运行后,浏览器不会弹窗,并且控制台会报错:
Failed to find a valid digest in the 'integrity' attribute for resource 'hello.js' with computed SHA-256 integrity 'yP+icQv0rkwUuvAEjjDRQTM6m8w4aQ936YZEuRrUFzI='. The resource has been blocked.
<script src="./hello.js" integrity="sha384-lljDDPT2N8y39RmxV0B+qemhTBD8tZL1htDJn14mXP7EvAPiiv8rjNhg3ZFc5XaL" ></script>
我们可以用 openssl
生成某个文件的 Hash,非常方便。注意 integrity
属性必须在 Base64 之前加上 Hash 类型,比如 sha384-xxxx...
这样,否则浏览器只是在控制台报错提示 integrity
的值不合法,但不会验证文件哈希值且该文件依然能正常加载。
cat hello.js | openssl dgst -sha384 -binary | openssl enc -base64 -A // RenGlKfD/k9qWjsAD6vt7nfBC7GNwch1UuXoxjg61CWXoZIo4xcAhwLRHuFKhQvC%
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
营销三大算法
刘学林、刘逸春、张新春、王颖、余彬晶、刘锦炽、董少灵、沈逸超、王锐睿、孙静若 / 上海交通大学出版社 / 2018-1-31 / 88.00元
未来的营销应该是数字化的,即数字营销。以数据为本,用演算做根,数字营销能够演算生活的方方面面。在数字营销领域,市场的整个投入、产出带来什么东西?企业一定要狠清楚地知道,这是做数字营销的本质。数字营销和企业做生意的本质是一样的,目的都是以投入换取产出。 本书由正和岛数字营销部落编写,基于大量企业的案例与数据,提出了营销三大核心算法与一套全局营销系统,帮助企业CEO与营销人员科学化建立全局营销系......一起来看看 《营销三大算法》 这本书的介绍吧!
