Sfondo
Una discussione sul non sourcing di file JavaScript da altri siti web ( link ) mi ha fatto pensare .
Sono menzionate ragioni di rendimento e costo che potrebbero avere senso avere alcuni script ospitati da terze parti.
Domanda
Esiste un modo esistente per verificare che JavaScript di riferimento (o forse anche immagini, altri dati) non sia stato modificato dall'attore malevolo?
In cima alla mia testa, direi che potresti essere in grado di farlo con i websocket per scaricare lo script e quindi controllare il suo hash, inserire in HTML. Può essere. Non ricordo alcuna soluzione built-in, come forse < script src="https://foo/bar.js" hash="$ 5 $ 0xf00 ... $ 0xbaa ..." > < / script > .