คุณสมบัติการแจงนับนี้ระบุว่าต้องใช้ CORS เมื่อโหลดรูปภาพที่เกี่ยวข้องหรือไม่ ค่าที่เป็นไปได้ ได้แก่ สองค่าต่อไปนี้:
ไม่ระบุชื่อ: จะเริ่มคำขอข้ามโดเมน (นั่นคือ รวมส่วนหัว Origin: HTTP) แต่จะไม่ส่งข้อมูลการตรวจสอบสิทธิ์ (นั่นคือ คุกกี้ ใบรับรอง X.509 และข้อมูลการตรวจสอบสิทธิ์พื้นฐานของ HTTP จะไม่ถูกส่ง) หากเซิร์ฟเวอร์ไม่ระบุข้อมูลรับรองต้นทาง (ไม่ได้ตั้งค่าส่วนหัว Access-Control-Allow-Origin: HTTP) รูปภาพจะเสียและถูกจำกัด
use-credentials: จะเริ่มคำขอข้ามโดเมนพร้อมข้อมูลการตรวจสอบสิทธิ์ (ส่งคุกกี้ ใบรับรอง X.509 และข้อมูลการตรวจสอบสิทธิ์พื้นฐาน HTTP) (นั่นคือ รวมถึงแหล่งที่มา: ส่วนหัว HTTP) หากเซิร์ฟเวอร์ไม่ได้ให้ข้อมูลรับรองแหล่งที่มา ( อย่าตั้งค่าส่วนหัว Access -Control-Allow-Origin: HTTP) รูปภาพจะถูกปนเปื้อนและถูกจำกัด
เมื่อไม่ได้ตั้งค่าแอตทริบิวต์นี้ ทรัพยากรจะไม่ถูกโหลดโดยใช้ CORS (นั่นคือ ส่วนหัวของ Origin: HTTP จะไม่ถูกส่ง) ซึ่งจะป้องกันไม่ให้มีการใช้ในองค์ประกอบ หากมีการตั้งค่าที่ไม่ถูกต้อง ระบบจะใช้แบบไม่ระบุชื่อ .
Subresource Integrity (SRI) is a security feature that enables browsers to verify that files they fetch (for example, from a CDN) are delivered without unexpected manipulation. It works by allowing you to provide a cryptographic hash that a fetched file must match.
การแปล:
ความสมบูรณ์ของทรัพยากรย่อย (SRI) เป็นคุณลักษณะด้านความปลอดภัยที่ช่วยให้เบราว์เซอร์สามารถตรวจสอบได้ว่าไฟล์ที่รวบรวมข้อมูล (เช่น จาก CDN) ได้รับการจัดส่งโดยไม่มีการดำเนินการที่ไม่คาดคิด มันทำงานโดยอนุญาตให้คุณระบุแฮช/แฮชที่เข้ารหัสซึ่งไฟล์ที่ดึงมาจะต้องตรงกัน
ตัวอย่าง:
<link rel="stylesheet" href="/ajax/libs/twitter-bootstrap/4.5.0/css/bootstrap.min.css" integrity="sha384-9aIt2nRpC12Uk9gS9baDl411NQApFmC26EwAOH8WgZl5MYYxFfc+NcPb1dKGj7Sk" crossorigin="anonymous">
<script src="/ajax/libs/twitter-bootstrap/4.5.0/js/bootstrap.min.js" integrity="sha384-OgVRvuATP1z7JjHLkuOU7Xw704+h835Lr+6QL9UvYjZE3Ipu6Tp75j7Bh/kR0JKI" crossorigin="anonymous"></script>