این ویژگی شمارش مشخص می کند که آیا CORS باید هنگام بارگذاری تصاویر مرتبط استفاده شود یا خیر. مقادیر ممکن شامل دو مورد زیر است:
ناشناس: درخواست بین دامنه ای را آغاز می کند (یعنی شامل سرصفحه Origin: HTTP). اما هیچ اطلاعات احراز هویت ارسال نخواهد شد (یعنی کوکی ها، گواهی های X.509 و اطلاعات احراز هویت اولیه HTTP ارسال نمی شوند). اگر سرور اعتبار اولیه را ارائه نکند (هدر Access-Control-Allow-Origin: HTTP را تنظیم نکند)، تصویر آلوده و محدود می شود.
use-credentials: درخواست بین دامنهای را با اطلاعات احراز هویت (ارسال کوکی، گواهی X.509 و اطلاعات احراز هویت اولیه HTTP) آغاز میکند (یعنی شامل سرصفحه Origin: HTTP) است. Access -Control-Allow-Origin: هدر HTTP را تنظیم نکنید، تصویر آلوده و محدود خواهد شد.
هنگامی که این ویژگی تنظیم نشده باشد، منبع با استفاده از CORS بارگیری نمی شود (یعنی سربرگ Origin: HTTP ارسال نمی شود)، که از استفاده آن در عناصر جلوگیری می کند .
Subresource Integrity (SRI) is a security feature that enables browsers to verify that files they fetch (for example, from a CDN) are delivered without unexpected manipulation. It works by allowing you to provide a cryptographic hash that a fetched file must match.
ترجمه:
یکپارچگی منابع فرعی (SRI) یک ویژگی امنیتی است که به مرورگر اجازه میدهد تا بررسی کند که فایلهایی که میخزند (مثلاً از یک CDN) بدون عملیات غیرمنتظره تحویل داده میشوند. این کار به شما امکان می دهد یک هش/هش رمزنگاری ارائه دهید که فایل بازیابی شده باید مطابقت داشته باشد.
مثال:
<link rel="stylesheet" href="/ajax/libs/twitter-bootstrap/4.5.0/css/bootstrap.min.css" integrity="sha384-9aIt2nRpC12Uk9gS9baDl411NQApFmC26EwAOH8WgZl5MYYxFfc+NcPb1dKGj7Sk" crossorigin="anonymous">
<script src="/ajax/libs/twitter-bootstrap/4.5.0/js/bootstrap.min.js" integrity="sha384-OgVRvuATP1z7JjHLkuOU7Xw704+h835Lr+6QL9UvYjZE3Ipu6Tp75j7Bh/kR0JKI" crossorigin="anonymous"></script>