In base a Mozilla :
The HTTP Content-Security-Policy
require-sri-for
directive instructs the client to require the use of Subresource Integrity for scripts or styles on the page.
Non riesco a vedere il beneficio. L'SCP è progettato per proteggermi da qualcuno che inserisce gli script nella mia pagina. Se un utente malintenzionato è in grado di iniettare un tag script, non sarebbe in grado di iniettare un attributo di integrità appropriato?
Quale attacco è possibile senza questa direttiva, ma non ci riesce?