如何将SRI用于CDN中包含的.css文件所包含的资源。
例如,如果您在HTML中包含此内容:
<link href="https://maxcdn.bootstrapcdn.com/font-awesome/4.7.0/css/font-awesome.min.css" rel="stylesheet" integrity="sha384-wvfXpqpZZVQGK6TAh5PVlGOfQNHSoD2xbE+QkPxCAFlNEevoEH3Sl0sibVcOQVnN" crossorigin="anonymous">
这将加载通过CSS包含的字体,例如url('../fonts/fontawesome-webfont.woff2?v=4.7.0')当然,这些字体可能会被篡改,以利用一些未知的浏览器漏洞利用,因此强制执行散列检查也是有意义的。
如何告诉浏览器执行通过fontawesome-webfont.*加载的.css个文件的SRI哈希?
注意:看起来子资源哈希值为not yet supported,但我不确定这是否是最新的。
答案 0 :(得分:0)
据我所知,具有有效完整性和CORS头的资源的子资源不再需要任何东西。至少,似乎是在Opera上强制执行CSP的情况。