Quali sarebbero i potenziali vettori di attacco se un browser dovesse ignorare i certificati quando si effettua una richiesta di rete verificata tramite l'integrità della subresource ?
Ad esempio, supponiamo di avere il tag script:
<script src="https://example.com/my-script.js"integrity="..." crossorigin="anonymous">
Il browser farebbe la richiesta di my-script
, ma non si preoccuperebbe di controllare il certificato, poiché la validità dello script è verificata dall'attributo di integrità.
La pagina web che contiene il tag script verrebbe comunque verificata tramite certificati, ma lo script stesso non lo farebbe.
Esistono possibili vettori di attacco in questo scenario?