ຄຸນສົມບັດການນັບຈຳນວນນີ້ກຳນົດວ່າຈະຕ້ອງໃຊ້ CORS ຫຼືບໍ່ໃນເວລາໂຫຼດຮູບພາບທີ່ກ່ຽວຂ້ອງ. ຄ່າທີ່ເປັນໄປໄດ້ລວມມີສອງອັນຕໍ່ໄປນີ້:
anonymous: ຈະລິເລີ່ມການຮ້ອງຂໍຂ້າມໂດເມນ (ນັ້ນແມ່ນ, ລວມທັງຕົ້ນກໍາເນີດ: HTTP header). ແຕ່ບໍ່ມີຂໍ້ມູນການພິສູດຢືນຢັນຈະຖືກສົ່ງໄປ (ນັ້ນຄື cookies, ໃບຢັ້ງຢືນ X.509 ແລະຂໍ້ມູນການພິສູດຢືນຢັນພື້ນຖານ HTTP ຈະບໍ່ຖືກສົ່ງໄປ). ຖ້າເຊີບເວີບໍ່ໃຫ້ໃບຢັ້ງຢືນຕົ້ນກໍາເນີດ (ບໍ່ໄດ້ກໍານົດ Access-Control-Allow-Origin: HTTP header), ຮູບພາບຈະຖືກ tainted ແລະຈໍາກັດ.
use-credentials: ຈະລິເລີ່ມການຮ້ອງຂໍຂ້າມໂດເມນທີ່ມີຂໍ້ມູນການພິສູດຢືນຢັນ (ສົ່ງ cookie, -Control-Allow-Origin: HTTP header), ຮູບພາບຈະຖືກປົນເປື້ອນແລະຖືກຈໍາກັດ.
ເມື່ອຄຸນລັກສະນະນີ້ບໍ່ໄດ້ຖືກຕັ້ງ, ຊັບພະຍາກອນຈະບໍ່ຖືກໂຫລດໂດຍໃຊ້ CORS (ນັ້ນແມ່ນ, ຕົ້ນສະບັບ: HTTP header ຈະບໍ່ຖືກສົ່ງ), ເຊິ່ງຈະປ້ອງກັນບໍ່ໃຫ້ມັນຖືກນໍາໃຊ້ໃນອົງປະກອບຖ້າຄ່າທີ່ຜິດກົດຫມາຍຖືກຕັ້ງ, ການໃຊ້ anonymous .
Subresource Integrity (SRI) is a security feature that enables browsers to verify that files they fetch (for example, from a CDN) are delivered without unexpected manipulation. It works by allowing you to provide a cryptographic hash that a fetched file must match.
ການແປ:
Subresource Integrity (SRI) ແມ່ນລັກສະນະຄວາມປອດໄພທີ່ອະນຸຍາດໃຫ້ຕົວທ່ອງເວັບກວດສອບວ່າໄຟລ໌ທີ່ມັນລວບລວມຂໍ້ມູນ (ຕົວຢ່າງ, ຈາກ CDN) ຖືກຈັດສົ່ງໂດຍບໍ່ມີການປະຕິບັດງານທີ່ບໍ່ຄາດຄິດ. ມັນເຮັດວຽກໂດຍການໃຫ້ທ່ານສະຫນອງ hash / hash cryptographic ທີ່ໄຟລ໌ທີ່ດຶງມາຕ້ອງກົງກັນ.
ຕົວຢ່າງ:
<link rel="stylesheet" href="/ajax/libs/twitter-bootstrap/4.5.0/css/bootstrap.min.css" integrity="sha384-9aIt2nRpC12Uk9gS9baDl411NQApFmC26EwAOH8WgZl5MYYxFfc+NcPb1dKGj7Sk" crossorigin="anonymous">
<script src="/ajax/libs/twitter-bootstrap/4.5.0/js/bootstrap.min.js" integrity="sha384-OgVRvuATP1z7JjHLkuOU7Xw704+h835Lr+6QL9UvYjZE3Ipu6Tp75j7Bh/kR0JKI" crossorigin="anonymous"></script>