0

我决定将 SRI 添加到我们的 CDN 脚本中,但我想测试它是否有效。如果我手动更改哈希脚本仍然加载。我期待控制台中出现某种错误代码或其他内容。

例如,这是正确的哈希:

<script crossorigin="anonymous" integrity="sha256-ZosEbRLbNQzLpnKIkEdrPv7lOy9C27hHQ+Xp8a4MxAQ= sha384-nvAa0+6Qg9clwYCGGPpDQLVpLNn0fRaROjHqs13t4Ggj3Ez50XnGQqc/r8MhnRDZ sha512-jGsMH83oKe9asCpkOVkBnUrDDTp8wl+adkB2D+//JtlxO4SrLoJdhbOysIFQJloQFD+C4Fl1rMsQZF76JjV0eQ=="
src="https://code.jquery.com/jquery-1.12.4.min.js"></script>

如果我然后将每个 sha 哈希中的第一个字符更改为:

<script crossorigin="anonymous" integrity="sha256-YosEbRLbNQzLpnKIkEdrPv7lOy9C27hHQ+Xp8a4MxAQ= sha384-mvAa0+6Qg9clwYCGGPpDQLVpLNn0fRaROjHqs13t4Ggj3Ez50XnGQqc/r8MhnRDZ sha512-iGsMH83oKe9asCpkOVkBnUrDDTp8wl+adkB2D+//JtlxO4SrLoJdhbOysIFQJloQFD+C4Fl1rMsQZF76JjV0eQ=="
src="https://code.jquery.com/jquery-1.12.4.min.js"></script>

我希望它会失败。但事实并非如此。在 Firefox 58.0.2 和 Chrome 64.0.3282.140 中测试,两者都支持 SRI。缓存已关闭,我可以在开发人员工具中看到每次都重新获取脚本。

我还能做些什么来验证是否使用了 SRI?我从根本上误解了什么......?

4

1 回答 1

0

我已经用一些样式表对其进行了测试,它似乎在那里工作,包括 Firefox 报告中的控制台:

完整性属性中的“sha384”散列都不匹配子资源的内容。

样式表没有加载也更加明显。我认为脚本一定存在缓存问题。

于 2018-02-13T15:39:07.153 回答