integrity生成器|资源完整性生成器|SRI Hash 生成器

1. ความสมบูรณ์ของทรัพยากรคืออะไร?

ความสมบูรณ์ของทรัพยากรย่อย (SRI) เป็นคุณลักษณะด้านความปลอดภัยที่ช่วยให้เบราว์เซอร์สามารถตรวจสอบได้ว่าไฟล์ที่รวบรวมข้อมูล (เช่น จาก CDN) ได้รับการจัดส่งโดยไม่มีการดำเนินการที่ไม่คาดคิด มันทำงานโดยอนุญาตให้คุณระบุแฮช/แฮชที่เข้ารหัสซึ่งไฟล์ที่ดึงมาจะต้องตรงกัน

2. ข้ามต้นกำเนิด

คุณสมบัติการแจงนับนี้ระบุว่าต้องใช้ CORS เมื่อโหลดรูปภาพที่เกี่ยวข้องหรือไม่ ค่าที่เป็นไปได้ ได้แก่ สองค่าต่อไปนี้:
- ไม่ระบุชื่อ: คำขอข้ามโดเมนจะเริ่มต้นขึ้น (นั่นคือ ซึ่งประกอบด้วยส่วนหัว Origin: HTTP) แต่จะไม่ส่งข้อมูลการตรวจสอบสิทธิ์ (นั่นคือ คุกกี้ ใบรับรอง X.509 และข้อมูลการตรวจสอบสิทธิ์พื้นฐานของ HTTP จะไม่ถูกส่ง) หากเซิร์ฟเวอร์ไม่ระบุข้อมูลรับรองต้นทาง (ไม่ได้ตั้งค่าส่วนหัว Access-Control-Allow-Origin: HTTP) รูปภาพจะเสียและถูกจำกัด
- use-credentials: จะเริ่มคำขอข้ามโดเมนด้วยข้อมูลการตรวจสอบสิทธิ์ (ส่งคุกกี้ ใบรับรอง X.509 และข้อมูลการตรวจสอบสิทธิ์พื้นฐาน HTTP) (นั่นคือ รวมถึงส่วนหัวของ Origin: HTTP) หากเซิร์ฟเวอร์ไม่ได้ให้ข้อมูลประจำตัวของแหล่งกำเนิด (ไม่ได้ตั้งค่า Access-Control-Allow-Origin: ส่วนหัว HTTP) รูปภาพนี้จะถูกปนเปื้อนและถูกจำกัด - เมื่อไม่ได้ตั้งค่าแอตทริบิวต์นี้ ทรัพยากรจะไม่ถูกโหลดโดยใช้ CORS (นั่นคือ ส่วนหัว Origin: HTTP จะไม่ ถูกส่ง) ซึ่งจะป้องกันการใช้งานในองค์ประกอบ หากมีการตั้งค่าที่ไม่ถูกต้อง ระบบจะใช้แบบไม่ระบุชื่อ

3. ความเข้ากันได้ของเบราว์เซอร์

Chrome 45 ขึ้นไป, Firefox 43 ขึ้นไป, Edge 17 ขึ้นไป, Safari 11 ขึ้นไป, Opera 32 ขึ้นไป

อ้างถึงเอกสารอย่างเป็นทางการ:https://www.w3.org/TR/SRI/