Autenticità del codice JavaScript quando caricata da un sito Web di terze parti

2

Sfondo

Una discussione sul non sourcing di file JavaScript da altri siti web ( link ) mi ha fatto pensare .

Sono menzionate ragioni di rendimento e costo che potrebbero avere senso avere alcuni script ospitati da terze parti.

Domanda

Esiste un modo esistente per verificare che JavaScript di riferimento (o forse anche immagini, altri dati) non sia stato modificato dall'attore malevolo?

In cima alla mia testa, direi che potresti essere in grado di farlo con i websocket per scaricare lo script e quindi controllare il suo hash, inserire in HTML. Può essere. Non ricordo alcuna soluzione built-in, come forse < script src="https://foo/bar.js" hash="$ 5 $ 0xf00 ... $ 0xbaa ..." > < / script > .

    
posta domen 01.07.2014 - 10:41
fonte

1 risposta

1

Non ci sono soluzioni integrate. (Ma certamente dovrebbe esserlo!) È possibile scaricare i dati utilizzando XMLHttpRequest 2 e quindi verificare il proprio hash utilizzando un'implementazione JavaScript SHA-256 prima di fare qualcosa con il risultato (ad esempio evaling, se si tratta di codice JavaScript). Funzionerà solo se il server non attendibile supporta CORS. La cache del browser della risorsa può ancora essere utilizzata.

    
risposta data 01.07.2014 - 20:30
fonte

Leggi altre domande sui tag