Javascript中integrity属性安全验证

已于 2022-10-22 14:05:49 修改
阅读量1.4k 收藏 2
点赞数 1
分类专栏: js web前端 文章标签: javascript 前端 开发语言
于 2022-10-22 14:05:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43918803/article/details/127461098
版权

1、报错 关于integrity属性

报错如下:

Failed to find a valid digest in the ‘integrity’ attribute for
resource ‘https://apollo2.aimsen.com/app.js’ with
computed SHA-384 integrity
‘zWlxgCEUyQjYCtykeexDkvIk5d2N5QjXRMajgY44tMBMob/jO+8IHWMRrZu6g1dp’.
The resource has been blocked.

原因:

// 部署到线上后,一般会分发到cdn,需要引入远程文件;
如:<script src="https://cdn.xxx.xx/js/index.js"></script>

只是引入远程文件存在一个问题,如果对应的文件被篡改了,那么可能会对用户造成影响。虽然cdn一般都是可靠的,但是不排除受到黑客的攻击。
在这种情况下,可以通过script标签的属性 integrity 来进行安全验证。

2、integrity安全验证

integrity属性设置引入js文件的hash值,浏览器在下载js文件时候,
会对js文件进行hash计算,如果一致则正常加载,否则拒绝加载运行。

<script
    integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
    src="https://cdn.xxx.xx/js/index.js">
</script>

如何获得hash值

可以通过网站生成hash值。

链接: srihash

在这里插入图片描述
直接将代码拷贝至代码引用到的地方即可。

可能会遇到

在这里插入图片描述
是表示integrity不对, cdn文件的hash值和 integrity 的不匹配。
需用上述获取hash值模块即可。

参考文章: https://www.jb51.net/article/227358.htm

提示词语言的安全性形式化验证与证明
AI天才研究院
12-19 932
《提示词语言的安全性形式化验证与证明》 关键词 提示词语言:用于引导AI执行特定任务的语言元素。 形式化验证:使用数学和逻辑方法验证系统安全性和正确性的过程。
blazor 踏坑之旅 integrity
yxt1522916229的专栏
07-27 756
"Failed to find a valid digest in the 'integrity' attribute for resource 'https://localhost:5001/_framework/Newtonsoft.Json.dll' with computed SHA-256 integrity 'XZbuUbKv9ZIDnuvC7SA9n1X935wIgvs00/DgeDdJVKU='. The resource has been blocked."
js--script和link中的 integrity 属性
weixin_30838873的博客
07-05 413
参考https://www.cnblogs.com/zuojiayi/p/7207031.html script src="https://code.jquery.com/jquery-3.3.1.min.js" integrity="sha256-FgpCb/KJQlLNfOu91ta32o/NMZxltwRo8QtmkMRdAu8=" crossorigin="anonymous...
html css integrity,integrity 属性
weixin_39797381的博客
06-18 1425
一个有用的推论是 document.head 在任何写在网页上的 JavaScript 几乎总是可用。document.body 只有当你将 script 标签写在 标签中或者它之后的时候才可用。async 和 deferHTML5 添加了两个工具来控制脚本的执行。async表示“不用马上执行它”。更具体地它表示:我不介意你在整个网页加载完成之后执行这个脚本,把它放在其他脚本执行之后。这对于统计分...
javaScript】关于script 标签你应该知道的 (async,defer,integrity,crossorigin 和 onerror 属性)
Umbrella_Um的博客
11-14 1536
作者:rainjay 原文链接:https://github.com/rainjay/blog/issues/1 script标签用来在网页中执行JavaScript,它可以直接包含JavaScript代码,也可以直接通过src指向一个同域或者不同域的外链 1. script标签默认会阻塞页面解析,并按照它们出现的顺序执行 <script src="a.js"></scrip...
html标签中crossOrigin、integrity属性详解、SRI、HSTS
AIWWY的博客
07-27 2223
在canvas中使用drawImage()绘制图像时,若传入未声明属性的跨源元素,会使canvas变成污染状态(tainted),此时任何读取canvas数据的操作,如toBlob()等,均会抛出错误(可理解为在。
在HTML上添加integrity,验证js和css的hash,防止篡改
TsukasaHwan的博客
07-29 2481
近期甲方做了什么安全检查防止html、js被串改,要求加上integrity属性这边记录下如何生成hash值 计算hash 在linux上面使用此命令计算你需要生成hash的文件 [root@hhlqrtest js]# cat ./util.js | openssl dgst -sha384 -binary | openssl enc -base64 -A rfhUX/daSXdrSIHpOOPTxq222dR4unGS9FO+MsBx/DHDzaWWQwiWyqHKERH
react-integrity:始终有效的UI组件
02-22
React Integrity 的工作原理是利用SHA校验和来验证组件在渲染过程中的完整性。当组件被加载或更新时,它会计算组件的源代码的哈希值,并与之前存储的哈希值进行比较。如果两者不匹配,那么可能存在潜在的问题,如...
Subresource Integrity (SRI) Hash Generator-crx插件
04-02
1. **哈希计算**:开发者在HTML代码中引用外部资源(如JavaScript文件或CSS文件)时,会添加一个`integrity`属性,该属性包含资源的哈希值。这个哈希值通常是SHA-384或SHA-256算法生成的。 2. **资源请求**:当用户...
深入理解SRI技术:JavaScript安全的入门指南
SRI,全称为Subresource Integrity,是Web安全中的一个概念,它允许浏览器验证加载的资源的完整性。当网页引用外部资源(如或标签)时,可以使用SRI来检测文件是否在传输过程中被篡改。 2. **为什么需要SRI?** ...
subresource_integrity_rewrite:重写平面HTML页面以包括所有第三方脚本的子资源完整性
05-05
子资源完整性(Subresource Integrity,SRI)是Web安全领域的一个重要概念,它允许开发者在引入外部资源,如JavaScript库、CSS文件或者字体时,验证这些资源是否在传输过程中被篡改。SRI通过在HTML的`<script>`或`...
Failed to find a valid digest in the ‘integrity‘ attribute for resource解决办法
热门推荐
ohdajing的博客
04-17 1万+
被这个错误坑了好多天 前提:框架Blazor 项目在本地运行没问题,发布到服务器后,报错在资源的“完整性”属性中找不到有效摘要 找解决办法的过程中开始以为是跨域资源共享和子资源完整性问题,详见:https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity#cross-origin_resource_sharing_and_subresource_integrity 使用以下<script>元素..
js编程学习 第2章 HTML中的js
最新发布
qq_52841748的博客
02-15 1628
// 这是一个函数定义");
第二章 HTML中的JavaScript
weixin_52878347的博客
12-21 1515
不过,把所有JavaScript文件都放在里,也就意味着必须把所有JavaScript代码都下载、解析和解释完成后,才能开始渲染页面(页面在浏览器解析到的起始标签时开始渲染)。虽然这个例子中的元素包含在页面的中,但它们会在浏览器解析到结束的标签后才会执行。HTML5规范要求脚本应该按照它们出现的顺序执行,因此第一个推迟的脚本会在第二个推迟的脚本之前执行,而且两者都会在DOMContentLoaded事件之前执行。
Bootstrap
1024
08-05 155
Bootstrap BootStrap:前端开发框架 在框架基础上开发,减少代码量,编码 定义了CSS样式和JS插件 响应式布局 <!doctype html> <html lang="ch"> <head> <!-- Required meta tags --> <meta charset="utf-8"> <meta name="viewport" content="width=device-width, in
vue3+django通信时报错Forbidden (Origin checking failed does not match any trusted origins.):
邹九的个人博客
09-15 536
然后还是报错了:Forbidden (CSRF cookie not set.): /csdn/postArticle。若是不想配置cookie内的字段可以装饰函数,不检查CSRF。
The resource has been blocked.
xif3681的博客
08-07 7749
问题: Failed to find a valid digest in the 'integrity' attribute for resource 'http://localhost:4200/assets/css/bootstrap.min.css' with computed SHA-256 integrity 'nvT75FkXevX06WR8vlhFFP02xzhq9qFxLQOuS...
引入bootstrap报错Failed to find a valid digest in the ‘integrity‘ attribute for resource
我心坚持
04-13 2996
原本文件: <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@4.6.1/dist/css/bootstrap.min.css" integrity="sha384-p1KAotb3W9ndluCsqePPYnjRm3c6abdnIjo0tQwYUv83VsbsYd43RuofnFAaDo0E" crossorigin="anonymous"> 修改后文件:即去掉最后两个参数 <link rel=".
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值