Bootstrapcdn 最近更改了他们的链接。现在看起来像这样:
<link href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/css/bootstrap.min.css"
rel="stylesheet"
integrity="sha256-MfvZlkHCEqatNoGiOXveE8FIwMzZg4W85qfrfIFBfYc= sha512-dTfge/zgoMYpP7QbHy4gWMEGsbsdZeCXz7irItjcC3sPUFtf0kuFbDz/ixG7ArTxmDjLXDmezHubeNikyKGVyQ=="
crossorigin="anonymous">
integrity 和 crossorigin 属性是什么意思?它们如何影响样式表的加载?
【问题讨论】:
标签: html cross-domain cors subresource-integrity
这两个属性都已添加到 Bootstrap CDN 以实现 Subresource Integrity。
子资源完整性定义了一种机制,用户代理可以通过该机制验证获取的资源是否已在没有意外操作的情况下交付Reference
完整性属性是允许浏览器检查文件源,以确保如果源被操纵,则永远不会加载代码。
Crossorigin 属性 在使用“CORS”加载请求时出现,现在这是在未从“同源”加载时进行 SRI 检查的要求。 More info on crossorigin
【讨论】:
Attribute integrity not allowed on element link at this point.
integrity 属性一无所知。但我会尽快根据github.com/validator/validator/issues/151 的要求添加对它的支持。因此,您可能希望订阅该问题以在它登陆时收到通知。
integrity 属性(我是该检查器的维护者)。
完整性 - 定义必须匹配的资源的哈希值(如校验和)以使浏览器执行它。哈希确保文件未被修改并包含预期的数据。这样浏览器就不会加载不同的(例如恶意的)资源。想象一下,您的 JavaScript 文件在 CDN 上被黑客入侵,并且无法得知。完整性属性防止加载不匹配的内容。
无论跨域如何,都将阻止无效的 SRI(Chrome 开发者工具)。以下是完整性属性不匹配时的 NON-CORS 情况:
完整性可以计算使用:https://www.srihash.org/ 或输入控制台 (link):
openssl dgst -sha384 -binary FILENAME.js | openssl base64 -A
crossorigin - 定义从不同来源的服务器加载资源时使用的选项。 (请参阅此处的 CORS(跨源资源共享):https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS)。它有效地改变了浏览器发送的 HTTP 请求。如果添加了“crossorigin”属性 - 它将导致将 origin:
crossorigin 可以设置为“匿名”或“使用凭据”。两者都会导致将 origin: 添加到请求中。然而,后者将确保检查凭据。标签中没有crossorigin属性会导致发送无源请求:键值对。
以下是从 CDN 请求“使用凭据”的案例:
<script
src="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-alpha.6/js/bootstrap.min.js"
integrity="sha384-vBWWzlZJ8ea9aCX4pEW3rVHjgjt7zpkNpZk+02D9phzyeVkE+jo0ieGizqPLForn"
crossorigin="use-credentials"></script>
如果跨域设置不正确,浏览器可以取消请求。
链接
博客
【讨论】:
从技术上讲,Integrity 属性 有助于实现这一点 - 它可以正确验证数据源。也就是说,它仅允许浏览器根据位于 CDN 服务器上的源文件请求的数量来验证正确源文件中的数字。
再深入一点,如果此源的已建立加密哈希值并检查其与浏览器中预定义值的合规性 - 代码将执行,并且用户请求已成功处理。
Crossorigin 属性帮助开发者优化 CDN 性能,同时保护网站代码免受恶意脚本的攻击。
特别是,Crossorigin 以匿名方式下载站点的程序代码,而不下载 cookie 或执行身份验证程序。这样,当您首次在特定 CDN 服务器上加载网站时,它可以防止用户数据泄露,网络欺诈者可以轻松替换地址。
【讨论】: