我想对子资源完整性属性进行软集成,所以请确保我没有破坏应用程序,而只是显示我需要修复某些地方的警告。
有没有办法这样做?
问问题
1003 次
2 回答
4
安全的方法
如果您需要某种灵活性,那么您应该使用回退机制- 从另一个 URL 加载所需的资源。与仅入侵一个资源相比,同时入侵两个不同 URL 的概率要小得多。回退不会违反站点安全性,因为您必须信任您在代码中使用的已知良好来源。如果您的资源是 Javascript - 您也可以使用noncanonical-src属性作为后备。
不安全的方法
现在,如果您真的非常希望用户通过强制加载受损资源来破坏服务器和/或客户端的安全性 - 至少询问用户他/她是否为此承担责任。当然这仍然是一件愚蠢的事情,就像问“你想在你的电脑上运行病毒吗? ”。我敢打赌,没有人愿意说是。无论如何,这是代码,它确实提出了这些类型的问题:
<script type="text/javascript" src="https://cdnjs.cloudflare.com/ajax/libs/crypto-js/3.1.9-1/crypto-js.min.js"></script>
<script>
function loadResource(path) {
var xhttp = new XMLHttpRequest();
xhttp.onreadystatechange = function() {
if (this.readyState == 4 && this.status == 200) {
var cs = CryptoJS.SHA256(this.responseText);
if (btoa(cs) == 'NjBiMTllNWRhNmE5MjM0ZmY5MjIwNjY4YTVlYzExMjVjMTU3YTI2ODUxMzI1NjE4OGVlODBmMmQyYzhkOGQzNg==' ||
confirm('Bootstrap is NOT the latest version 4.3.1, load anyway ?')
) {
var link = document.createElement('link');
link.rel = "stylesheet";
link.href = path;
document.head.appendChild(link);
}
else {
var err = document.getElementById('error');
err.title = "Component version error !";
err.innerHTML = ' ⚠️';
}
}
};
xhttp.open("GET", path, true);
xhttp.send();
}
loadResource(
//'https://stackpath.bootstrapcdn.com/bootstrap/4.3.1/css/bootstrap.min.css' // newest boostrap
'https://stackpath.bootstrapcdn.com/twitter-bootstrap/2.0.4/css/bootstrap-combined.min.css' // old legacy
);
</script>
于 2019-04-02T09:25:27.187 回答
1
我不建议只在 SRI 哈希不匹配时显示警告。当以用户身份看到警告时,已经为时已晚,并且可能在您的计算机上执行了恶意脚本。
但是,您可以使用ServiceWorker-API 和类似<script data-integrity="xxxxxxxx">. 为此,您需要:
- 注册一个新的
ServiceWorker - 收听
fetch事件 [Client.postMessage]目标 URL 到您的父母- 通过 targetURL 获取脚本完整性哈希
$('script[src=event.data.targetURL]').attr('data-integrity')
并将其推送到客户端使用Worker.postMessage - 使用 eG 对响应进行哈希处理
cryptojs.sha256 - 匹配工作人员内部的哈希值
- 如果哈希匹配,则返回响应。如果它们不匹配,则返回响应并
Client.postMessage再次使用以触发警告。
于 2019-04-01T14:52:34.080 回答