Javascript使用integrity屬性進行安全驗證

更新時間：2021年11月05日 08:35:06 作者：快樂編程

這篇文章主要介紹了Javascript使用integrity屬性進行安全驗證，在html中，script標簽可以通過src屬性引入一個js文件，引入的js文件可以是本地的，也可以是遠程的，下面我們一起來看看文章詳細內容

一、script標簽引入文件

在html中，script標簽可以通過src屬性引入一個js文件，引入的js文件可以是本地的，也可以是遠程的。

1. 引入本地文件

開發(fā)環(huán)境一般多引入本地js文件。

<script src="./js/index.js"></script>

2. 引入遠程文件

部署到線上后，一般會分發(fā)到cdn，需要引入遠程文件，

形如：

<script src="https://cdn.xxx.xx/js/index.js"></script>

只是引入遠程文件存在一個問題，如果對應的文件被篡改了，那么可能會對用戶造成影響。雖然cdn一般都是可靠的，但是不排除受到黑客的攻擊。

在這種情況下，可以通過script標簽的屬性 integrity 來進行安全驗證。

二、integrity安全驗證

integrity屬性設置引入js文件的hash值，瀏覽器在下載js文件時候，會對js文件進行hash計算，如果一致則正常加載，否則拒絕加載運行。

形如：

<script
    integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
    src="https://cdn.xxx.xx/js/index.js"></script>

1. 引入vue的cdn資源

例如我們要引入vue的cdn資源：

https://unpkg.com/vue@3.0.5/dist/vue.global.js

可以通過 https://www.srihash.org/ 生成hash值。

integrity生成hash值：

最后將 integrity 的值添加到script標簽即可。

<script src="https://unpkg.com/vue@3.0.5/dist/vue.global.js"
    integrity="sha384-0k9//QJdpmfSdp5IK3oJjOYPfz42f2FE0goMLtK9Vq7aKllvc4Lnz7lHPHiFhvDP"
    crossorigin="anonymous">
</script>

2. 驗證是否正常

因為引入的是cdn資源，無法直接修改，但是修改 integrity 的值，如果修改了 integrity 的值，

最終瀏覽器會報如下錯誤：

Failed to find a valid digest in the 'integrity' attribute for resource 'https://unpkg.com/vue@3.0.5/dist/vue.global.js' with computed SHA-256 integrity 'Wr5PnkpmZ3oQFRZLfDrI6fsePSMak5h8rW2rqq+mdWg='. The resource has been blocked.

意思就是cdn文件的hash值和 integrity 的不匹配。

到此這篇關于Javascript使用integrity屬性進行安全驗證的文章就介紹到這了,更多相關script integrity內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: