Html 为什么不是';锚定标记上不支持完整性属性,是否有解决方法?
我很好奇为什么锚标记上不支持,特别是对于http和/或Html 为什么不是';锚定标记上不支持完整性属性,是否有解决方法?,html,Html,我很好奇为什么锚标记上不支持,特别是对于http和/或下载资源,浏览器通常会在内部处理这些资源(无需调用外部助手) 例如, 它似乎是一个非常有用的完整性应用程序,因为兼容浏览器可以从本质上防止或警告用户,实际获取的资源在页面创建或传输过程中已被修改。如果页面作者关心用户实际下载的文件版本与他们最初链接的文件版本相同,这似乎是一个巨大的成功(例如,软件供应商可以将下载链接锁定到SHA哈希,这样MITM或CDN漏洞攻击就无法用特洛伊木马取代它) 作为一种解决方法,是否可以劫持link元素来创建可见的
下载资源,浏览器通常会在内部处理这些资源(无需调用外部助手)
例如,
它似乎是一个非常有用的完整性应用程序,因为兼容浏览器可以从本质上防止或警告用户,实际获取的资源在页面创建或传输过程中已被修改。如果页面作者关心用户实际下载的文件版本与他们最初链接的文件版本相同,这似乎是一个巨大的成功(例如,软件供应商可以将下载链接锁定到SHA哈希,这样MITM或CDN漏洞攻击就无法用特洛伊木马取代它)
作为一种解决方法,是否可以劫持link
元素来创建可见的链接,或者是否需要完全在JS中完成?完整性属性不是非常必要,但它是一种“好功能”
首先,完整性属性并不是绝对必要的。它只是一个“好东西”,可以防止黑客更改CDN文件的内容
其次,使用CDN的最新版本(从这里获取):