私はSubresource Integrityについて読んでおり、外部ファイルを検証するためのものであることを理解しています。私はMDNまたはW3CからインラインJavaScriptへの参照が見つかりませんでした。Subresource Integrityは、インラインJavaScriptにとって有用ですか?
SRI関連の属性integrity
とcrossorigin
は、インラインJavaScriptではまったく役に立たないと言っても過言ではありませんか?
私はSubresource Integrityについて読んでおり、外部ファイルを検証するためのものであることを理解しています。私はMDNまたはW3CからインラインJavaScriptへの参照が見つかりませんでした。Subresource Integrityは、インラインJavaScriptにとって有用ですか?
SRI関連の属性integrity
とcrossorigin
は、インラインJavaScriptではまったく役に立たないと言っても過言ではありませんか?
ので、SRI関連の属性
integrity
とcrossorigin
インラインJavaScriptのための完全に役に立たないと言うことは、それは安全ですか?
はい、それらの属性はsrc
属性を持つscript
要素のためにのみ有用であるため:
https://html.spec.whatwg.org/multipage/scripting.html#attr-script-integrity
質問で述べたようにまた
integrity
属性は、この要素が担当する要求のための整合性のメタデータを表し、 。値はテキストです。モジュールスクリプトの埋め込み時またはsrc
属性が指定されていない場合は、integrity
属性を指定しないでください。 [SRI]
が、それはまた、MDNに説明によって明らかにされています:
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
サブリソースの整合性(SRI)へのブラウザを可能にするセキュリティ機能です予期しない操作なしで(たとえばCDNから)ファイルが配信されることを確認します。これは、が一致しなければならない暗号化されたハッシュをで取得できるようにすることによって機能します。
<script>
に「src」属性がない場合、<script>
タグのintegrity
属性が無視されるので、そうだとします。 SRIは、リソースが別のHTTP要求を介して取得された場合にのみ表示されます。