PCI 对 google js 的脚本 Src 完整性检查失败

Question

我在我的代码中使用了这个：

<script type="text/javascript" src='https://www.googleadservices.com/pagead/conversion.js'></script> 

在 PCI Scan 中，我收到了“Script Src Integrity Check”的错误提示

他们建议使用 SRI（子资源完整性检查）。这是通过在标签中添加完整性属性来完成的，该属性是哈希键。

我试图在https://www.srihash.org/上为这个js文件创建一个哈希键

但它给出一个错误说：

错误：此资源不符合完整性检查的条件。见https://enable-cors.org/server.html

你能帮帮我吗？

1. 如何为这个js生成hash key？

2. 有没有其他方法可以消除 PCI 扫描错误？

Answer 1

我在使用 Google 托管的 JS 时遇到了同样的问题。 Google 不提供 SRI。他们会不时修改脚本，因此他们需要对其进行版本化并保持它们不变，否则 SRI 会失败。

同时，向您的 PCI 检查服务提交误报。他们需要更新此检查以跳过 Google 托管的脚本，就好像 Google 被黑了一样，那将是世界末日。

Answer 2

我在使用 Google 托管的 https://www.google.com/recaptcha/api.js 时也遇到了同样的问题。

我联系了我们的 PCI 扫描公司，他们说如果我们给他们一份关于我们信任谷歌的声明，那么我们的扫描结果就会改变。 我们的声明是这样的：
1. 我们将每 30 天检查一次 Google 的 API，以验证脚本的完整性。
2. 我们信任 Google。
3. 我们对此漏洞承担责任。

我希望它对某人有所帮助。