Есть ли какая-либо реализация или спецификация для включения хэша или подписи в атрибут тега <, чтобы браузер мог убедиться, что правильный файл был извлечен до его выполнения ? Что-то вроде:Задание хэша скрипта от ненадежного хоста
<script
src="http://cdn.example.com/jquery-2001.js"
signature="sha-256/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
></script>
мотивация заключается в следующем: как правило, каждый дополнительный CDN или хост вы используете для вашего сайта повышает уязвимость, добавляя новую цель, которая может быть взломан, чтобы взломать ваш сайт. Предоставление вашим основным интерфейсным серверам утверждений хэшей или подписи этих файлов может полностью устранить этот риск, что позволит вам быть более гибкими при проектировании вашей архитектуры. Вы даже можете запросить отсутствующие файлы из ненадежной одноранговой сети.
Я думал, что вспомнил спецификацию об этом, но не смог его найти.
[Нет атрибута 'подпись'.] (Https://html.spec.whatwg.org/multipage/scripting.html#the-script-element) Зачем вам это нужно? – undefined
Я не ожидал, что это будет в общепринятых стандартах, но подумал, что есть предложение, которое было реализовано на какой-то платформе. «подпись» была примером того, что может быть именем - я ожидал бы, что настоящее имя и синтаксис будут более продуманными, чем мой пример. – Tim
Что-то вроде этого необходимо, чтобы иметь возможность использовать общие CDN (например, предоставленные jQuery) или CDN в целом, не увеличивая риск вашей безопасности. Как правило, каждая добавленная дополнительная CDN-услуга означает еще одну услугу, которая может быть взломана, чтобы поставить под угрозу ваш сайт. Если ваш основной сайт может утверждать хеши/подписи файлов, на которые он ссылается, этот риск устраняется. Я уверен, что у нас будет стандарт. – Tim