HTTP中的CSP:require-sri-for是Content Securi
▥前端
𝄐 0
HTTP中的CSP:require-sri-for是Content Security Policy(内容安全策略)的一种指令,用于强制要求浏览器只执行拥有有效Subresource Integrity(子资源完整性)校验的资源。
简单来说,当网站使用了CSP并设置了require-sri-for指令时,如果某个资源(如脚本、样式表、图片等)没有提供SRI哈希值或哈希值无效,则该资源将被浏览器禁止加载,以防止恶意的注入攻击,提高网站的安全性。
例如,以下CSP头部中设置了require-sri-for script和style指令:
Content-Security-Policy: require-sri-for script style;
这将强制要求浏览器只加载具有有效SRI哈希值的脚本和样式表,示例代码如下:
<script src="https://example.com/example.js" integrity="sha384-abcdefghijklmnopqrstuvwxyz0123456789"></script>
<link href="https://example.com/style.css" rel="stylesheet" integrity="sha256-abcdefghijklmnopqrstuvwxyz0123456789">
在此示例中,脚本和样式表都提供了有效的SRI哈希值,因此浏览器将允许它们被加载。如果资源未提供SRI哈希值或哈希值无效,则浏览器将禁止加载该资源。
简单来说,当网站使用了CSP并设置了require-sri-for指令时,如果某个资源(如脚本、样式表、图片等)没有提供SRI哈希值或哈希值无效,则该资源将被浏览器禁止加载,以防止恶意的注入攻击,提高网站的安全性。
例如,以下CSP头部中设置了require-sri-for script和style指令:
Content-Security-Policy: require-sri-for script style;
这将强制要求浏览器只加载具有有效SRI哈希值的脚本和样式表,示例代码如下:
<script src="https://example.com/example.js" integrity="sha384-abcdefghijklmnopqrstuvwxyz0123456789"></script>
<link href="https://example.com/style.css" rel="stylesheet" integrity="sha256-abcdefghijklmnopqrstuvwxyz0123456789">
在此示例中,脚本和样式表都提供了有效的SRI哈希值,因此浏览器将允许它们被加载。如果资源未提供SRI哈希值或哈希值无效,则浏览器将禁止加载该资源。
本文地址:
/show-278222.html
版权声明:除非特别标注原创,其它均来自互联网,转载时请以链接形式注明文章出处。