HTML `Integrity` Attribut für die Integrit?t von SubResource
Jul 29, 2025 am 02:26 AM
SUBRESource Integrity (SRI) schützt die Integrit?t der externen Ressourcen durch Hash -überprüfung und verhindert Manipulationen. 1. Nutzungsszenario: Beim Einführung von Bibliotheken von Drittanbietern wie JQuery und Bootstrap verhindern Sie, dass CDN entführt wird oder an Angriffe der Mitte des Mies. 2. Implementierungsmethode: Fügen Sie das Integrit?tsattribut zum Skript- oder Link-Tag hinzu, der Wert ist der SHA-256/384/512 Hash der Ressource, und Crossorigin = "Anonymous" ist erforderlich. 3. Generierungsmethode: Verwenden Sie Befehlszeilen -Tools oder Online -Generatoren, um Hashes zu generieren. 4. Anmerkungen: Die Hashes müssen synchron aktualisiert werden, wenn der Ressourceninhalt ge?ndert wird. CDN kann aufgrund der Kompression inkonsistente Hashes verursachen. HTTPS kann SRI nicht ersetzen. SRI wird haupts?chlich für Ressourcen von Drittanbietern verwendet.
Um das integrity von HTML zu verwenden, um die Integrit?t von Subresourcen zu gew?hrleisten, um es unverblümt auszudrücken, wenn der Browser externe Ressourcen l?dt (wie JS oder CSS, die von CDN eingeführt wurden), überprüft es, ob der Dateiinhalt manipuliert wurde. Der Kern dieses Mechanismus ist die Hash -überprüfung, um sicherzustellen, dass die Ressourcen, auf die Sie verweisen, genau die gleichen sind wie die ursprünglich ver?ffentlichten Ressourcen.
Hier sind ein paar wichtige Punkte, mit denen Sie herausfinden k?nnen, wie Sie es verwenden k?nnen, warum und was Sie ben?tigen, um Aufmerksamkeit zu erhalten.
Was ist SubResource -Integrit?t (SRI)
SubResource Integrity (SRI) ist ein Browser-Sicherheitsmechanismus, mit dem beladene externe Ressourcen (wie Skripte oder Style-Bl?tter, die auf CDNs von Drittanbietern gehostet werden), b?swillig modifiziert werden. Sein Prinzip ist sehr einfach: Sie fügen dem Tag ein integrity hinzu, das den kryptografischen Hash -Wert des Ressourceninhalts setzt. Nachdem der Browser die Ressource heruntergeladen hat, berechnet sie den Hash selbst. Wenn es nicht mit dem, was Sie bereitstellen, nicht übereinstimmt, bedeutet dies, dass die Datei m?glicherweise manipuliert wurde, sodass sie sich weigert, auszuführen.
Gemeinsame Szenarien wie die Einführung ?ffentlicher Bibliotheken wie JQuery und Bootstrap, wenn Sie dem offiziellen CDN vertrauen, sich jedoch besorgt über Angriffe des Mannes in der Mitte oder der Entführung des CDN, kann das Hinzufügen einer Integrit?t eine zus?tzliche Schutzebene hinzufügen.
So generieren Sie integrity
Um SRI zu verwenden, müssen Sie zun?chst den richtigen Hash für Ihre Ressource generieren. Die am h?ufigsten verwendeten Algorithmen sind SHA-256, SHA-384 und SHA-512, und es wird empfohlen, mindestens SHA-256 zu verwenden.
Sie k?nnen es über das Befehlszeilen -Tool erzeugen:
cat yourfile.js | OpenSSL DGST -SHA256 -BINARY | OpenSSL Base64 -a
Sie k?nnen auch direkt Online -Tools wie SRI -Hash -Generator generieren. Sie k?nnen die entsprechende Integrit?tszeichenfolge sehen, indem Sie die Datei hochladen.
Fügen Sie nach der Generation diese Eigenschaft zum <script> oder <link> -Tag: Fügen Sie hinzu:
<script src = "https://example.com/your-script.js"
Integrity = "SHA256 ist der Hash-Wert, den Sie generiert haben"
crossorigin = "anonymous"> </script> Stellen Sie sicher, dass Sie das crossorigin -Attribut hinzufügen, andernfalls führen einige Browser keine Vollst?ndigkeitsprüfungen durch.
Dinge, die in der tats?chlichen Verwendung zu beachten sind
W?hrend integrity nützlich ist, gibt es mehrere Punkte, die anf?llig für Fehler sind oder ignorieren:
- Die Ressource kann nicht ge?ndert werden : Selbst wenn Sie einen Charakter lokal ?ndern, stimmt der Hash nicht überein. Sobald die Integrit?t hinzugefügt wurde, k?nnen Sie die Ressourcendatei nicht nach Belieben aktualisieren, ohne den Hash zu aktualisieren.
- CDN -Caching -Probleme : Einige CDNs k?nnen Ressourcen komprimieren oder umschreiben, was zu inkonsistenten Hashes führt. Es ist am besten, es vor dem Einsatz zu testen.
- HTTPS ist keine gleiche Sicherheit : Selbst wenn HTTPS verwendet wird, kann es nicht garantieren, dass das CDN nicht beeintr?chtigt wird. SRI ist eine zus?tzliche Sicherheitsebene.
- Nur für externe Ressourcen anwendbar : Wenn es sich um eine Ressource auf Ihrem eigenen Server handelt, ist es im Allgemeinen nicht erforderlich, sie hinzuzufügen, es sei denn, Sie führen auch die CDN -Verteilung durch.
Welche Ressourcen eignen sich zum Hinzufügen von integrity
Nicht alle Ressourcen eignen sich zum Hinzufügen dieses Attributs, und die folgenden Situationen sind haupts?chlich anwendbar:
- JS/CSS-Bibliotheken von Drittanbietern (wie JQuery, React, Bootstrap)
- Statische Ressourcen auf ?ffentlichen CDNs veranstaltet
- Gemeinsame Skripte, die von mehreren Websites geteilt werden
Für Skripte, die von Ihnen selbst entwickelt wurden, insbesondere solche, die sich h?ufig ?ndern, wird nicht empfohlen, sie hinzuzufügen, da sie zu problematisch sind, um sie aufrechtzuerhalten. Wenn die Ressourcen jedoch stabil gestartet wurden, k?nnen Sie sie auch hinzufügen.
Insgesamt ist integrity ein einfaches und effektives Sicherheitsinstrument, insbesondere wenn Sie sich auf externe Ressourcen verlassen, es lohnt sich, einige Minuten zu konfigurieren. Obwohl nicht allm?chtig, kann es in einigen F?llen zumindest potenzielle Risiken vermeiden.
Das obige ist der detaillierte Inhalt vonHTML `Integrity` Attribut für die Integrit?t von SubResource. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Hei?e KI -Werkzeuge
Undress AI Tool
Ausziehbilder kostenlos
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem v?llig kostenlosen KI-Gesichtstausch-Tool aus!
Hei?er Artikel
Hei?e Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Wie gehe ich mit Transaktionen in Java mit JDBC um?
Aug 02, 2025 pm 12:29 PM
Um JDBC -Transaktionen korrekt zu verarbeiten, müssen Sie zun?chst den automatischen Komiti -Modus ausschalten und dann mehrere Vorg?nge ausführen und schlie?lich entsprechend den Ergebnissen festlegen oder rollen. 1. Nennen Sie Conn.SetAutoCommit (False), um die Transaktion zu starten. 2. Führen Sie mehrere SQL -Operationen aus, z. B. einfügen und aktualisieren. 3. Rufen Sie Conn.Commit () an, wenn alle Vorg?nge erfolgreich sind, und rufen Sie Conn.Rollback () auf, wenn eine Ausnahme auftritt, um die Datenkonsistenz zu gew?hrleisten. Gleichzeitig sollten Try-with-Ressourcen verwendet werden, um Ressourcen zu verwalten, Ausnahmen ordnungsgem?? zu behandeln und Verbindungen zu schlie?en, um Verbindungsleckage zu vermeiden. Darüber hinaus wird empfohlen, Verbindungspools zu verwenden und Save -Punkte zu setzen, um teilweise Rollback zu erreichen und Transaktionen so kurz wie m?glich zu halten, um die Leistung zu verbessern.
Python für Data Engineering ETL
Aug 02, 2025 am 08:48 AM
Python ist ein effizientes Instrument zur Implementierung von ETL -Prozessen. 1. Datenextraktion: Daten k?nnen aus Datenbanken, APIs, Dateien und anderen Quellen über Pandas, SQLalchemy, Anfragen und andere Bibliotheken extrahiert werden; 2. Datenumwandlung: Verwenden Sie Pandas für Reinigung, Typumwandlung, Assoziation, Aggregation und andere Vorg?nge, um die Datenqualit?t zu gew?hrleisten und die Leistung zu optimieren. A. Datenbelastung: Verwenden Sie Pandas 'TO_SQL -Methode oder Cloud -Plattform -SDK, um Daten an das Zielsystem zu schreiben, auf Schreibmethoden und Stapelverarbeitung zu achten. 4. Toolempfehlungen: Luftstrom, Dagster, Pr?fekten werden zur Prozessplanung und -verwaltung verwendet, um Protokollalarme und virtuelle Umgebungen zu kombinieren, um die Stabilit?t und Wartbarkeit zu verbessern.
Verst?ndnis der Java Virtual Machine (JVM) Interna
Aug 01, 2025 am 06:31 AM
ThejvMenablesJavas "Writeonce, Runanywhere" -CapabilityByexecutingByteCodethroughfourMainComponents: 1.TheClassloadersubStemLoads, Links, undinitializes
Wie arbeite man mit Kalender in Java?
Aug 02, 2025 am 02:38 AM
Verwenden Sie Klassen im Java.Time -Paket, um das alte Datum und die Kalenderklassen zu ersetzen. 2. Erhalten Sie das aktuelle Datum und die aktuelle Uhrzeit durch LocalDate, LocalDatetime und Local Time; 3. Erstellen Sie ein bestimmtes Datum und eine bestimmte Uhrzeit mit der von () Methode; 4.. Verwenden Sie die Plus/Minus -Methode, um die Zeit nicht zu erh?hen und zu verkürzen. 5. Verwenden Sie ZonedDatetime und zoneId, um die Zeitzone zu verarbeiten. 6. Format und analysieren Sie Datumszeichenfolgen über DateTimeFormatter; 7. Verwenden Sie sofortige, um bei Bedarf mit den alten Datumstypen kompatibel zu sein. Die Verarbeitung der Datum in der modernen Java sollte der Verwendung von Java.Timeapi vorrangig machen, was klare, unver?nderliche und linear ist
Vergleich von Java Frameworks: Spring Boot vs Quarkus gegen Micronaut
Aug 04, 2025 pm 12:48 PM
Pre-Formancetartuptimemoryusage, QuarkusandmicronautleadduToCompile-Time-foringandgraalvSupport, WithQuarkusofttenperformLightBetterin serverloser Szenarien.2. Thyvelopecosystem,
Verst?ndnis von Netzwerkports und Firewalls
Aug 01, 2025 am 06:40 AM
Networkportsandfirewallsworktogethertoenablecommunicationwhileensuringsecurity.1.Networkportsarevirtualendpointsnumbered0–65535,withwell-knownportslike80(HTTP),443(HTTPS),22(SSH),and25(SMTP)identifyingspecificservices.2.PortsoperateoverTCP(reliable,c
Wie funktioniert die Müllsammlung in Java?
Aug 02, 2025 pm 01:55 PM
Die Müllsammlung von Java (GC) ist ein Mechanismus, der automatisch den Speicher verwaltet, der das Risiko eines Speicherlecks verringert, indem unerreichbare Objekte zurückgeführt werden. 1.GC beurteilt die Zug?nglichkeit des Objekts aus dem Stammobjekt (z. B. Stapelvariablen, aktive Threads, statische Felder usw.) und nicht erreichbare Objekte als Müll markiert. 2. Basierend auf dem markierten Algorithmus markieren Sie alle erreichbaren Objekte und l?schen Sie nicht markierte Objekte. 3.. Verfolgen Sie eine Generationskollektionsstrategie: Die neue Generation (Eden, S0, S1) führt h?ufig MollGC aus; Die ?lteren Menschen erzielen weniger, dauert jedoch l?nger, um MajorGC durchzuführen. MetaPace speichert Klassenmetadaten. 4. JVM bietet eine Vielzahl von GC -Ger?ten: SerialGC ist für kleine Anwendungen geeignet; ParallelgC verbessert den Durchsatz; CMS reduziert sich
Vergleich von Java -Build -Werkzeugen: Maven vs. Gradle
Aug 03, 2025 pm 01:36 PM
GradleStheBetterChoiceFormostnewProjectsDuetoitSuperiorFlexibilit?t, Leistung und ModerntoolingSupport.1.GRADLE'SGROOVY/KOTLINDSLISMORECONCISEANDEIPRESSIVETHANMANMANBOSEXML.2.GRAGRECONCISEANDEPRPRESSIVETHANMAVENSVOSEXML.2.
