A cosa serve proteggere la direttiva CSP-sri-for?

3

In base a Mozilla :

The HTTP Content-Security-Policy require-sri-for directive instructs the client to require the use of Subresource Integrity for scripts or styles on the page.

Non riesco a vedere il beneficio. L'SCP è progettato per proteggermi da qualcuno che inserisce gli script nella mia pagina. Se un utente malintenzionato è in grado di iniettare un tag script, non sarebbe in grado di iniettare un attributo di integrità appropriato?

Quale attacco è possibile senza questa direttiva, ma non ci riesce?

    
posta Anders 26.02.2018 - 12:51
fonte

2 risposte

4

La norma HTTP Content-Security-Policy require-sri-for mira unicamente a proteggere dagli sviluppatori che si dimenticheranno di aggiungere il tag integrity .

Frederik Braun, che afferma di essere l'autore dell'integrità di subressource ha scritto sul suo blog :

GitHub is one of the first big websites using Subresource Integrity and can thus defend against potentially bad Content Delivery Networks (CDNs). The tricky thing with SRI is that you have to include it for every HTML tag that points to a CDN if you want the security benefit. And then, of course, it happend that someone forgot to add this and people were sad.

    
risposta data 26.02.2018 - 13:25
fonte
0

Ti protegge dalle iniezioni nelle risorse consentite. Se dovessi consentire a un tracker o una libreria da una fonte esterna e questi dovessero essere dirottati, il CSP non lo impedirà. L'SRI garantirà che se una risorsa dovesse cambiare, non verrà caricata. Questo è il motivo per cui CSP e SRI esistono entrambi, fanno cose diverse.

    
risposta data 26.02.2018 - 14:07
fonte