該枚舉屬性指定在加載相關圖片時是否必須使用CORS。可取的值包括以下兩個:
anonymous:會發起一個跨域請求(即包含Origin: HTTP頭)。但不會發送任何認證信息(即不發送cookie, X.509證書和HTTP基本認證信息)。如果服務器沒有給出源站憑證(不設置Access-Control-Allow-Origin: HTTP頭),這張圖片就會被污染並限製使用。
use-credentials:會發起一個帶有認證信息 (發送 cookie, X.509 證書和 HTTP 基本認證信息) 的跨域請求 (即包含 Origin: HTTP 頭). 如果服務器沒有給出源站憑證 (不設置 Access-Control-Allow-Origin: HTTP 頭), 這張圖片就會被污染並限製使用.
當不設置該屬性時, 資源将會不使用 CORS 加載 (即不發送 Origin: HTTP 頭), 這将阻止其在 元素中進行使用. 若設置了非法的值, 則視爲使用 anonymous.
Subresource Integrity (SRI) is a security feature that enables browsers to verify that files they fetch (for example, from a CDN) are delivered without unexpected manipulation. It works by allowing you to provide a cryptographic hash that a fetched file must match.
譯文:
子資源完整性 (SRI) 是一項安全功能,可讓浏覽器驗證其抓取的文件 (例如,從一個 CDN) 是在沒有意外操作的情況下傳遞的。它的工作原理是允許您提供一個獲取的文件必須匹配的加密散列/哈希。
樣例:
<link rel="stylesheet" href="/ajax/libs/twitter-bootstrap/4.5.0/css/bootstrap.min.css" integrity="sha384-9aIt2nRpC12Uk9gS9baDl411NQApFmC26EwAOH8WgZl5MYYxFfc+NcPb1dKGj7Sk" crossorigin="anonymous">
<script src="/ajax/libs/twitter-bootstrap/4.5.0/js/bootstrap.min.js" integrity="sha384-OgVRvuATP1z7JjHLkuOU7Xw704+h835Lr+6QL9UvYjZE3Ipu6Tp75j7Bh/kR0JKI" crossorigin="anonymous"></script>