Thuộc tính liệt kê này chỉ định liệu có phải sử dụng CORS khi tải các hình ảnh liên quan hay không. Các giá trị có thể bao gồm hai giá trị sau:
ẩn danh: Sẽ bắt đầu yêu cầu tên miền chéo (nghĩa là bao gồm tiêu đề Origin: HTTP). Nhưng sẽ không có thông tin xác thực nào được gửi (nghĩa là cookie, chứng chỉ X.509 và thông tin xác thực cơ bản HTTP sẽ không được gửi). Nếu máy chủ không cung cấp thông tin xác thực gốc (không đặt tiêu đề Access-Control-Allow-Origin: HTTP), hình ảnh sẽ bị nhiễm độc và bị hạn chế.
use-credentials: Sẽ bắt đầu yêu cầu tên miền chéo với thông tin xác thực (gửi cookie, -Control-Allow-Origin: tiêu đề HTTP), hình ảnh sẽ bị ô nhiễm và bị hạn chế.
Khi thuộc tính này không được đặt, tài nguyên sẽ không được tải bằng CORS (nghĩa là tiêu đề Origin: HTTP sẽ không được gửi), điều này sẽ ngăn không cho nó được sử dụng trong các phần tử. Nếu một giá trị không hợp lệ được đặt, ẩn danh sẽ được sử dụng. .
Subresource Integrity (SRI) is a security feature that enables browsers to verify that files they fetch (for example, from a CDN) are delivered without unexpected manipulation. It works by allowing you to provide a cryptographic hash that a fetched file must match.
Dịch:
Tính toàn vẹn của nguồn phụ (SRI) là một tính năng bảo mật cho phép trình duyệt xác minh rằng các tệp mà nó thu thập dữ liệu (ví dụ: từ CDN) được phân phối mà không có hoạt động không mong muốn. Nó hoạt động bằng cách cho phép bạn cung cấp hàm băm/băm mật mã mà tệp được truy xuất phải khớp.
Ví dụ:
<link rel="stylesheet" href="/ajax/libs/twitter-bootstrap/4.5.0/css/bootstrap.min.css" integrity="sha384-9aIt2nRpC12Uk9gS9baDl411NQApFmC26EwAOH8WgZl5MYYxFfc+NcPb1dKGj7Sk" crossorigin="anonymous">
<script src="/ajax/libs/twitter-bootstrap/4.5.0/js/bootstrap.min.js" integrity="sha384-OgVRvuATP1z7JjHLkuOU7Xw704+h835Lr+6QL9UvYjZE3Ipu6Tp75j7Bh/kR0JKI" crossorigin="anonymous"></script>