Domande con tag 'sub-resource-integrity'

2
risposte

In che modo l'integrità di subresource effettivamente aiuta?

L'integrità delle risorse secondarie mi consente di sapere che una risorsa che sto per scaricare è valida, perché l'hash dei suoi contenuti corrisponde a quello che mi aspetto. Ma ciò presuppone che io stia già utilizzando un codice attendibi...
posta 10.09.2018 - 22:22
2
risposte

Quali attacchi vengono mitigati richiedendo CORS per la verifica dell'integrità della risorsa?

Qualcuno può elaborare gli attacchi a cui si fa riferimento in questo paragrafo dal W3C"> Specifiche dell'integrità delle risorse secondarie ? In order to mitigate an attacker’s ability to read data cross-origin by brute-forcing values via...
posta 23.01.2017 - 05:31
1
risposta

Perché l'integrità delle risorse secondarie (SRI) è limitata a determinati file?

Sono piuttosto entusiasta delle funzionalità di integrità delle risorse secondarie (SRI). Ma perché si limita ai file JS e CSS? Ho provato a bloccare un file LESS (variante CSS), di cui il tag di integrità è stato ignorato da Firefox e Chrome....
posta 16.03.2017 - 22:28
2
risposte

A cosa serve proteggere la direttiva CSP-sri-for?

In base a Mozilla : The HTTP Content-Security-Policy require-sri-for directive instructs the client to require the use of Subresource Integrity for scripts or styles on the page. Non riesco a vedere il beneficio. L'SCP è progettato per...
posta 26.02.2018 - 12:51
3
risposte

Perché Chrome mi dice che la direttiva CSP 'require-sri-for' è implementata dietro un flag che è attualmente disabilitato?

Nella mia politica di sicurezza dei contenuti ho incluso require-sri-for script . Tuttavia, nella console di Chrome viene visualizzato un avviso (non un errore, solo informazioni): The Content-Security-Policy directive 'require-sri-for'...
posta 24.02.2018 - 17:37
0
risposte

WebWorker Hash-Source CSP importScripts

Ho cercato di spostare il mio sito su CSP hash-source anziché su CSP host-source per verificare l'integrità dei file distribuiti da un CDN. Ho un WebWorker in esecuzione in background, che importa alcuni script da un CDN tramite la funzione i...
posta 18.05.2018 - 21:46