Как использовать Subresource Integrity (SRI) для защиты загружаемых ресурсов?

Question

Subresource Integrity (SRI) — это механизм безопасности, который позволяет браузерам проверять, что загружаемые внешние ресурсы (например, скрипты и стили) не были изменены. Для использования SRI необходимо добавить атрибут integrity к тегам

YeaHub · Accepted Answer

Subresource Integrity (SRI) — это важный механизм, который помогает защитить веб-приложения от атак, связанных с подменой загружаемых ресурсов, таких как JavaScript-файлы или CSS-стили. Когда веб-страница загружает ресурсы с внешних источников, существует риск того, что эти ресурсы могут быть изменены злоумышленниками. SRI помогает гарантировать, что загружаемый файл соответствует определенной целостности.Как это работает? SRI использует хеш-суммы для проверки целостности загружаемых ресурсов. Хеш-сумма — это строка, полученная в результате применения криптографической функции к содержимому файла. Браузер загружает файл и вычисляет его хеш-сумму, затем сравнивает ее с указанной в атрибуте integrity.Пример использования SRI: Рассмотрим пример, в котором загружается jQuery с CDN:В этом примере атрибут integrity содержит хеш-сумму для конкретной версии jQuery. Если файл изменится, браузер не загрузит его и выдаст ошибку, защищая пользователя от потенциально вредоносного кода.Преимущества использования SRI:Защита от подмены ресурсов.Повышение доверия к загружаемым ресурсам.Улучшение общей безопасности веб-приложений.Рекомендации:Всегда используйте SRI для внешних ресурсов.Генерируйте хеши с использованием надежных алгоритмов, таких как SHA-256.Обновляйте хеши при изменении загружаемых ресурсов.Использование Subresource Integrity (SRI) является простым, но эффективным способом повышения безопасности вашего веб-приложения и защиты данных пользователей.