Subresource Integrity
Subresource Integrity (SRI) ist ein Sicherheitsfeature, das es Browsern ermöglicht zu überprüfen, ob die von ihnen abgerufenen Ressourcen (zum Beispiel von einem CDN) ohne unerwartete Veränderungen geliefert werden. Es funktioniert, indem Sie einen kryptographischen Hash angeben, den eine abgerufene Ressource erfüllen muss.
Hinweis: Für die Subresource-Integrity-Überprüfung einer Ressource, die von einem anderen Ursprung als dem des eingebetteten Dokuments bereitgestellt wird, überprüfen Browser die Ressource zusätzlich mittels Cross-Origin Resource Sharing (CORS), um sicherzustellen, dass der Ursprung, der die Ressource bereitstellt, es erlaubt, diese mit dem anfordernden Ursprung zu teilen.
Wie Subresource Integrity hilft
Websites entscheiden sich manchmal dafür, sich auf einen Drittanbieter wie ein Content Delivery Network (CDN) zu stützen, um einige ihrer Ressourcen zu hosten, anstatt alle ihre Ressourcen selbst zu hosten. Beispielsweise könnte ein Dokument, das von https://example.com bereitgestellt wird, eine Ressource von einer anderen Quelle enthalten:
Dies birgt das Risiko, dass, wenn ein Angreifer die Kontrolle über den Drittanbieter-Host erlangt, der Angreifer beliebige bösartige Inhalte in seine Dateien injizieren (oder die Dateien komplett ersetzen) kann und dadurch potenziell auch Websites attackieren kann, die Dateien von ihm abrufen.
Subresource Integrity ermöglicht es Ihnen, einige Risiken solcher Angriffe zu mindern, indem sichergestellt wird, dass die Dateien, die Ihre Webanwendung oder Ihr Webdokument abruft, ohne dass ein Angreifer zusätzlichen Inhalt in diese Dateien injiziert hat – und ohne dass irgendwelche anderen Änderungen an diesen Dateien vorgenommen wurden – bereitgestellt werden.
Verwendung von Subresource Integrity
Sie verwenden das Subresource Integrity-Feature, indem Sie einen base64-kodierten kryptographischen Hash einer Ressource (Datei) angeben, die Sie dem Browser zum Abrufen anweisen, indem Sie den Hash im Wert des integrity-Attributs eines
Hinweis:
Für weitere Details zum Zweck des crossorigin-Attributs siehe CORS-Einstellungen-Attribute.