如何将SRI用于.css
CDN 上包含的文件所包含的资源。
例如,如果您在 HTML 中包含此内容:
<link href="https://maxcdn.bootstrapcdn.com/font-awesome/4.7.0/css/font-awesome.min.css" rel="stylesheet" integrity="sha384-wvfXpqpZZVQGK6TAh5PVlGOfQNHSoD2xbE+QkPxCAFlNEevoEH3Sl0sibVcOQVnN" crossorigin="anonymous">
这将加载通过 CSS 包含的字体,例如url('../fonts/fontawesome-webfont.woff2?v=4.7.0')
当然,这些字体可能会被篡改,以利用一些不为人知的浏览器漏洞,因此强制对它们进行哈希检查也是有意义的。
如何告诉浏览器对fontawesome-webfont.*
通过.css
?
注意:看起来子子资源哈希尚不支持,但我不确定这是否是最新的。