Ta właściwość wyliczenia określa, czy podczas ładowania powiązanych obrazów należy używać mechanizmu CORS. Możliwe wartości obejmują dwie następujące:
anonimowy: zainicjuje żądanie między domenami (tzn. uwzględni nagłówek Origin: HTTP). Nie zostaną jednak przesłane żadne informacje uwierzytelniające (tzn. pliki cookie, certyfikaty X.509 i podstawowe informacje uwierzytelniające HTTP nie zostaną przesłane). Jeśli serwer nie poda danych uwierzytelniających pochodzenia (nie ustawi nagłówka Access-Control-Allow-Origin: HTTP), obraz zostanie skażony i ograniczony.
use-credentials: Zainicjuje żądanie między domenami z informacjami uwierzytelniającymi (wyślij plik cookie, -Control-Allow-Origin: nagłówek HTTP), obraz zostanie zanieczyszczony i ograniczony.
Gdy ten atrybut nie jest ustawiony, zasób nie zostanie załadowany przy użyciu CORS (czyli nagłówek HTTP Origin: nie zostanie wysłany), co uniemożliwi jego użycie w elementach. W przypadku ustawienia niedozwolonej wartości zostanie użyty anonimowy .
Subresource Integrity (SRI) is a security feature that enables browsers to verify that files they fetch (for example, from a CDN) are delivered without unexpected manipulation. It works by allowing you to provide a cryptographic hash that a fetched file must match.
Tłumaczenie:
Subresource Integrity (SRI) to funkcja zabezpieczeń, która umożliwia przeglądarce sprawdzenie, czy przeszukiwane pliki (na przykład z sieci CDN) są dostarczane bez nieoczekiwanych operacji. Działa poprzez umożliwienie podania kryptograficznego skrótu/haszu, z którym musi odpowiadać pobrany plik.
Przykład:
<link rel="stylesheet" href="/ajax/libs/twitter-bootstrap/4.5.0/css/bootstrap.min.css" integrity="sha384-9aIt2nRpC12Uk9gS9baDl411NQApFmC26EwAOH8WgZl5MYYxFfc+NcPb1dKGj7Sk" crossorigin="anonymous">
<script src="/ajax/libs/twitter-bootstrap/4.5.0/js/bootstrap.min.js" integrity="sha384-OgVRvuATP1z7JjHLkuOU7Xw704+h835Lr+6QL9UvYjZE3Ipu6Tp75j7Bh/kR0JKI" crossorigin="anonymous"></script>