使用SRI保护你的网站免受第三方CDN恶意攻击

最新推荐文章于 2025-05-07 11:46:21 发布
最新推荐文章于 2025-05-07 11:46:21 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: java开发 http,网络安全

出于速度和降低服务器负载考虑,有时候我们会选择使用 CDN 加载第三方静态资源。对于一些热门的第三方库,在用户打开你的网页之前就很有可能在浏览别的网站时被浏览器缓存下来,这样就可以极大的提升网页加载速度。

然而使用 CDN 也提高了网站的安全风险:第三方静态资源放在第三方服务器上,CDN 的拥有者有没有可能偷偷的篡改这些文件,加入恶意代码呢?或者 CDN 服务器遭受了黑客攻击,整个文件被替换掉。虽然可能性不高,但不是零。JavaScript 对于当前浏览器页面有完全控制权,他们不仅仅能获取到页面上的任何内容,还能抓取用户输入的一些诸如密码之类的机密信息,还能获取到保存到 Cookie 中的登录票据等等内容,这就是所谓的 XSS 攻击。

我们需要一种机制确保从 CDN 下载的文件未被恶意篡改。某些下载网站就提供下载文件的 MD5 或 SHA1 码用于检查所下载文件的完整性,网页中有没有类似的机制呢?

什么是 SRI

子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制,它用于让浏览器检查所下载的来自第三方的资源(例如 CDN)未被恶意篡改。它使用哈希值检查确保第三方资源的完整性。只要开发者提供了被需下载资源的哈希值,浏览器就可以检查实际下载的文件是否与预期的哈希值匹配。

使用 SRI

只需给 script 或 style 标签添加 integrity 属性即可。例如:

  • JavaScript
<script src="https://code.jquery.com/jquery-3.2.1.min.js" integrity="sha384-xBuQ/xzmlsLoJpyjoggmTEz8OWUFM0/RC5BsqQBDX2v5cMvDHcMakNTNrHIW2I5f" crossorigin="anonymous"></script>
  • CSS
<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/normalize/7.0.0/normalize.min.css"integrity="sha384-7tIwW4quYS2+TZCwuAPnUY+dRqg28ylzlIoVXAwpfiTs+CMKsAOSsWYQ96c/ZnV+" crossorigin="anonymous">

integrity 属性值以 shaXXX- 开头,表示后面的哈希值使用的哈希算法,目前只允许 sha256sha384 或 sha512 这三种哈希算法,以 sha384 比较多见。后面跟对应的哈希值即可。

值得注意的是,因为启用 SRI 需要获取所下载文件的内容进行计算,所以需要 CDN 服务器启用跨域资源访问(CORS)支持,即返回 Access-Control-Allow-Origin: * 头。客户端需要使用跨域的形式加载指定文件,即添加 crossorigin="anonymous" 属性。就我所知,目前国内相对常用的免费 CDN bootcdn 已经支持 CORS,百度静态 CDN 还不支持。

浏览器如何处理 SRI

  1. 当浏览器遇到一个带有 integrity 的 script 或 style 标签,在执行其中的 JS 脚本或应用其中的 CSS 样式之前,浏览器会首先计算所下载文件的内容的哈希值是否与 integrity 属性给定的值相同。
  2. 如果计算结果与给定值不匹配,浏览器会拒绝执行脚本内容,并报出一个网络错误,类似如下结果:
Failed to find a valid digest in the 'integrity' attribute for resource 'https://cdnjs.cloudflare.com/ajax/libs/normalize/6.0.0/normalize.min.css' with computed SHA-256 integrity 'VbcxqgMGQYm3q8qZMd63uETHXXZkqs7ME1bEvAY1xK8='. The resource has been blocked.

如何计算哈希值

这是 SRI 标准文档提供的例子

$ echo -n "alert('Hello, world.');" | openssl dgst -sha384 -binary | openssl base64 -A

使用了 OpenSSL 这个 *nix 中通常都包含的工具计算哈希值。其中 alert('Hello, world.'); 是文件内容,你也可以用 cat Filename.js 直接读取某个文件。

输出 H8BRh8j48O9oYatfu5AZzq6A9RINhZO5H16dQZngK7T62em8MUt1FLm52t+eX6xO,在此基础上添加前缀 sha384- 就可以了。

网上也有现成的 SRI 哈希值生成器,方便好用:https://srihash.org/

CSP 与 SRI

你可以使用 内容安全政策 (CSP)强制要求当前页面所有脚本加载标签启用 SRI。例如

Content-Security-Policyrequire-sri-for script;

强制要求所有 script 标签启用 SRI,浏览器会拒绝加载未启用 SRI 的 script 标签。

对应的还有 CSS 版本:

Content-Security-Policyrequire-sri-for style;

你也可以同时启用两者。

错误恢复

使用 CDN 时别忘了当尝试从 CDN 加载文件失败后加载本地版本:

<script src="https://code.jquery.com/jquery-3.2.1.min.js"
        integrity="sha384-xBuQ/xzmlsLoJpyjoggmTEz8OWUFM0/RC5BsqQBDX2v5cMvDHcMakNTNrHIW2I5f"
        crossorigin="anonymous"></script>
<script>if (!window.jQuery) document.write('<script src="/jquery-3.2.1.min.js"><\/script>')</script>

本文来自:https://segmentfault.com/a/1190000011337230

【第1111期】Subresource Integrity 介绍
前端早读课
11-16 1112
前言 SRI,前两天才见过这个词。不知道你了解过吗?今日早读文章由@Jerry Qu 分享。 正文从这开始~ 这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource
75CDN 增加 SRI 支持
weixin_34101229的博客
11-14 234
75CDN 是一个由奇舞团维护的静态资源托管平台,创立至今已经稳定运行了一年多的时间。近期我们增加了 SRI 的支持,作为国内首个提供 SRI 服务的静态资源库了,也算是为 75CDN 一周年庆生吧。 SRI 全称是 Subresource Integrity,是用来解决由于 CDN 资源被污染而导致的 XSS 漏洞的方案。当浏览器检测...
SRI使用攻略
蒙蒙细雨的博客
06-29 711
SRI使用注意项
引用第三方JavaScript库如何添加完整性安全校验(SRI
最新发布
m0_64954687的博客
05-07 400
如何为第三方JavaScript库添加完整性校验(SRI) - 以mapvgl为例
为自己的应用程序添加脚本支持
weixin_34082789的博客
03-05 453
设计具有很好的定制能力,可以通过插件(Addin)、脚本语言等扩展定制的应用程序是一项激动人心的事情,这一类软件包括Microsoft Office,Emac,AutoCAD,Eclipse,Photoshop等等,前3种可以通过VBA或Lisp等语言扩展、定制其功能,后2者可以通过插件来扩展。对于Windows平台,可以有多种为应用程序添加脚本支持的方法,而对于.net平台,则可以使用VSA来完...
SRI::file_cabinet:Subresource IntegritySRI)哈希-排名第一的免费开放源CDN,旨在简化开发人员的生活
02-11
排名第一的免费开放源CDN,旨在使开发人员的生活更加轻松。 介绍 对于cdnjs上可用的每个文件,这是用于子资源完整性(SRI)哈希的仅机器人存储库。 其他资料库 有关控制我们在cdnjs上托管的库的JSON文件,请查看存储...
bootstrapcdn:免费Bootstrap CDN托管
04-05
SRI与这样的静态版本一起使用是安全的。 <!-- CSS only --> <link href="https://cdn.jsdelivr.net/npm/bootstrap@4.6.0/dist/css/bootstrap.min.css" rel="stylesheet"> <!-- JavaScript Bundle...
subresource_integrity_rewrite:重写平面HTML页面以包括所有第三方脚本的子资源完整性
05-05
使用SRI的重要性在于,即使CDN(内容分发网络)或第三方服务被攻击,用户也能得到保护,因为篡改的资源无法通过SRI校验。此外,SRI还可以与HTTPS结合使用,进一步增强Web应用的安全性,防止中间人攻击。 总结来说,...
music-player:第三次SRI任务-音乐播放器
05-15
第三次SRI任务-音乐播放器 查看作业的地址-http: 基于项目模板制作的公司CSSSR Project Template的快速入门。 项目开始 全局安装gulp和bower : npm i -g gulp bower 克隆您的存储库并导航到您的项目文件夹: ...
Subresource Integrity (SRI) Hash Generator-crx插件
04-02
**子资源完整性(SRI)哈希生成器插件详解** 子资源完整性(Subresource Integrity,简称SRI)是一种安全机制...通过合理利用这款插件,开发者可以有效地防止第三方库的恶意篡改,保障网站的稳定性和用户的数据安全。
web 网络安全知识
瓦罗兰特顶级C位的博客
02-28 1853
前言:公司最近严抓网安,使用安全工具扫描项目发现了一下一些关于网安的问题
Failed to find a valid digest in the ‘integrity‘ attribute for resource解决办法
热门推荐
ohdajing的博客
04-17 1万+
被这个错误坑了好多天 前提:框架Blazor 项目在本地运行没问题,发布到服务器后,报错在资源的“完整性”属性中找不到有效摘要 找解决办法的过程中开始以为是跨域资源共享和子资源完整性问题,详见:https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity#cross-origin_resource_sharing_and_subresource_integrity 使用以下<script>元素..
Web 安全之 SRI(Subresource Integrity 子资源完整性)详解
路多辛的所思所想
08-23 3797
SRI,全称是 Subresource Integrity,即子资源完整性,是一种用于防范恶意攻击和提高网站安全性的策略,可以用来防止网站引用的资源(例如 JavaScript、CSS、图片等)被篡改。这个策略是通过在引用资源时提供一个对应的哈希值来实现的,浏览器在加载资源时会计算其哈希值,如果计算出的哈希值与对应的哈希值不相等,浏览器就不会加载这个资源。
Subresource Integrity 介绍--SRI (Subresource Integrity) 的检查
zhang8907xiaoyue的博客
11-23 9536
这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组(
漏洞修复之 SRI
波子汽水
11-02 6114
这几天,GitHub 宣布 启用 SRI 策略 ,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组( Web
Subresource Integrity(子资源一致性)和JS DDos 攻击
weixin_30423977的博客
12-09 656
以下文章转载自http://www.cnblogs.com/zoucaitou/p/4505483.html 和http://www.puronglong.com/blog//2015/04/12/%E4%BB%8Egithub%E9%81%AD%E5%8F%97%E6%94%BB%E5%87%BB%E7%9C%8BDDoS.html 分布式拒绝服务攻击(DDoS)攻击是一种针对网站发...
动态添加含有脚本的scrip标签
weixin_30955341的博客
12-25 175
一般情况下,动态添加script脚本,通过添加script标签,设置src属性,来引入脚本。 如果不想通过src属性来引入,就是想直接写到script标签里面来引入(用来满足一些hack),怎么弄? 首先想到的是innerHTML属性,在现代浏览器没有问题,但是在IE中script是没有innerHTML属性。 要兼容IE,需要在script对象内,引入text节点,然后在text节点输入想...
前端开发人员_前端开发人员的10个安全提示
编程故事的地方
04-09 233
前端开发人员 Web安全是前端开发人员经常忽略的主题。 当我们评估网站的质量时,我们通常会查看性能,SEO友好性和可访问性等指标,而网站抵御恶意攻击的能力通常会受到关注。 即使敏感的用户数据存储在服务器端,后端开发人员也必须采取重要措施保护服务器,但最终,确保数据安全的责任在后端和前端之间共享。 虽然敏感数据可以安全地锁定在后端仓库中,但是前端将密钥保持在其前门上,窃取它们通常是获得访问权限的最...
子资源完整性SRI简介
凌晨港口
05-11 1814
子资源完整性 Subresource Integrity 简称 SRI 是一种安全机制。是允许浏览器检查其获得的资源(例如从 CDN 获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。
是不是少了第三方包的处理情况
04-01
<think>好的,用户之前让我介绍了Vue项目优化的常见问题和解决办法,现在他问“是不是少了第三方包的处理情况”,需要确认我的回答是否遗漏了第三方包的优化部分。 首先,回顾之前的回答,我确实在打包体积优化里提到了按需引入UI组件和webpack分包策略,但可能没有专门针对第三方包进行全面处理。用户可能觉得这部分不够详细,或者没有覆盖所有第三方包的优化方法,比如CDN引入、Tree Shaking、更新策略等。 接下来,我需要思考用户为什么会这么问。可能用户在实际项目中遇到了第三方包导致的问题,比如打包体积过大、加载速度慢,或者版本管理的问题。他们可能希望更详细的处理方案,比如如何通过CDN加速,如何去除未使用的代码,或者如何处理依赖更新带来的问题。 然后,我需要补充第三方包优化的其他方面。例如,使用CDN引入第三方库可以减少打包体积,利用浏览器缓存;Tree Shaking可以去除未使用的代码;还有动态导入、版本锁定等方法。这些都是处理第三方包的重要策略。 另外,用户可能对如何具体实施这些优化措施感兴趣,需要提供代码示例,比如在vue.config.js中配置externals,或者在index.html中添加CDN链接。同时,要提到注意事项,比如CDN的可用性、版本一致性等,确保用户实施时不会出现问题。 最后,还要考虑用户的技术水平,是否对webpack配置熟悉,是否需要更详细的步骤说明。比如,使用DLL预构建可能对新手来说比较复杂,是否需要进一步解释或者给出参考链接。 总结,用户的需求是希望获得更全面的第三方包优化方案,包括CDN、Tree Shaking、动态加载、版本管理等方面,并提供具体的代码示例和注意事项,确保他们能够有效应用到项目中。</think>您提到的非常正确!第三方依赖包的处理确实是性能优化中的重点环节,以下补充第三方库专项优化方案及代码示例: --- ### 第三方包专项优化 #### 1. **CDN引入公共库** **场景**:vue/vuex/vue-router等基础库占用打包体积 **解决方案**: ```javascript // vue.config.js configureWebpack: { externals: { vue: 'Vue', 'vue-router': 'VueRouter', vuex: 'Vuex' } } // public/index.html 添加CDN链接 <script src="https://cdn.jsdelivr.net/npm/vue@2.6.14/dist/vue.runtime.min.js"></script> <script src="https://cdn.jsdelivr.net/npm/vue-router@3.5.3/dist/vue-router.min.js"></script> <script src="https://cdn.jsdelivr.net/npm/vuex@3.6.2/dist/vuex.min.js"></script> ``` #### 2. **Tree Shaking优化** **场景**:lodash等工具库全量引入 **解决方案**: ```javascript // 错误用法 import _ from 'lodash' // 正确用法(按需引入) import debounce from 'lodash/debounce' import cloneDeep from 'lodash/cloneDeep' // 配合babel插件(babel-plugin-lodash) ``` #### 3. **动态加载第三方资源** **场景**:非首屏必须的库(如图表库) **解决方案**: ```javascript // 动态加载ECharts async loadEcharts() { const echarts = await import('echarts') this.chart = echarts.init(this.$refs.chartDom) } ``` #### 4. **版本锁定策略** **场景**:依赖版本冲突导致异常 **解决方案**:使用精确版本号 ```json // package.json "dependencies": { "moment": "2.29.1", // 避免使用^或~ "axios": "0.21.4" } ``` #### 5. **依赖包质量审计** **场景**:存在安全漏洞或低效代码 **解决方案**: ```bash # 使用npm audit检查漏洞 npm audit # 使用webpack-bundle-analyzer分析依赖占比 npx vue-cli-service build --report ``` --- ### 第三方包处理原则 1. **体积评估**: - 超过50KB的依赖需特别关注 - 使用 `import-cost` VSCode插件实时查看引入体积 2. **更新策略**: - 定期执行 `npm outdated` 检查更新 - 大版本更新前在测试环境验证 3. **替代方案**: ```javascript // 大型库替代方案示例 moment.js → day.js(体积减少97%) lodash → lodash-es(ES Modules版本) ``` --- ### 典型案例分析 **案例**:项目引入全量ElementUI导致体积过大 **优化步骤**: 1. 配置按需加载 2. 剥离CSS到CDN 3. 使用`babel-plugin-component`优化 ```javascript // babel.config.js plugins: [ [ "component", { "libraryName": "element-ui", "styleLibraryName": "theme-chalk", "ext": ".css" // 分离样式文件 } ] ] ``` --- ### 注意事项 1. CDN资源需配置备用源(SRI校验) 2. 生产环境禁用`console.log` ```javascript // vue.config.js config.optimization.minimizer('terser').tap(args => { args[0].terserOptions.compress.drop_console = true return args }) ``` 3. 使用`preload`预加载关键资源 ```html <link rel="preload" href="lib/vue.runtime.min.js" as="script"> ``` 通过以上专项处理,典型项目可减少第三方依赖体积40%-70%,建议结合Lighthouse报告持续优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值