私はSubresource Integrityについて読んでおり、外部ファイルを検証するためのものであることを理解しています。私はMDNまたはW3CからインラインJavaScriptへの参照が見つかりませんでした。Subresource Integrityは、インラインJavaScriptにとって有用ですか?
SRI関連の属性integrityとcrossoriginは、インラインJavaScriptではまったく役に立たないと言っても過言ではありませんか?
ので、SRI関連の属性
integrityとcrossoriginインラインJavaScriptのための完全に役に立たないと言うことは、それは安全ですか?
はい、それらの属性はsrc属性を持つscript要素のためにのみ有用であるため:
https://html.spec.whatwg.org/multipage/scripting.html#attr-script-integrity
質問で述べたようにまた
integrity属性は、この要素が担当する要求のための整合性のメタデータを表し、 。値はテキストです。モジュールスクリプトの埋め込み時またはsrc属性が指定されていない場合は、integrity属性を指定しないでください。 [SRI]
が、それはまた、MDNに説明によって明らかにされています:
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
サブリソースの整合性(SRI)へのブラウザを可能にするセキュリティ機能です予期しない操作なしで(たとえばCDNから)ファイルが配信されることを確認します。これは、が一致しなければならない暗号化されたハッシュをで取得できるようにすることによって機能します。
<script>に「src」属性がない場合、<script>タグのintegrity属性が無視されるので、そうだとします。 SRIは、リソースが別のHTTP要求を介して取得された場合にのみ表示されます。