7

我运行一个使用浏览器端 Javascript 加密和解密比特币密钥的比特币钱包。

我想让 javascript 在 Github 上可供审查,然后从 github 存储库加载 javascript。

我的问题是我需要检查加载的 Javascript 的完整性,以确保在 Github 上没有被篡改。

我怎样才能最好地做到这一点?会不会是这样的。

  1. 使用 ajax 调用加载远程 Javascript。
  2. MD5 哈希和比较。
  3. 如果状态良好,执行它。
4

1 回答 1

6

现在有(或很快将有)一种优雅的方式来实现这一目标(在提出问题后 2 年)。

http://www.w3.org/TR/SRI/

您现在可以在脚本标签内指定“完整性”参数:

<script src="https://github.com/<path>/yourscript.js"
        integrity="sha256-SDf......">

这不适用于通过 AJAX 请求加载的脚本。但是您可以潜在地将脚本引用为指向 CDN 的脚本标签(最好不要直接在 github 上)

于 2015-06-07T13:24:21.397 回答