动态更改Javascript文件的子资源完整性?
我正在尝试实现网页的子资源完整性。我有一个内联javascript,它是基于某些变量动态构造的动态更改Javascript文件的子资源完整性?,javascript,security,user-interface,websecurity,subresource-integrity,Javascript,Security,User Interface,Websecurity,Subresource Integrity,我正在尝试实现网页的子资源完整性。我有一个内联javascript,它是基于某些变量动态构造的 https://example.com/<DYNAMIC_VALUE>.js https://example.com/.js 对于作为URL一部分指定的每个动态值,将呈现文件的单独内容。由于完整性散列是基于内容计算的,因此实际上不可能预计算脚本标记的散列(因为动态_值可以是1001、1002、…n) 对于这种涉及动态变量的场景,SRI是否有最佳实践?谢谢 我使用这个插件来处理我的构
https://example.com/<DYNAMIC_VALUE>.js
https://example.com/.js
对于作为URL一部分指定的每个动态值,将呈现文件的单独内容。由于完整性散列是基于内容计算的,因此实际上不可能预计算脚本标记的散列(因为动态_值可以是1001、1002、…n)
对于这种涉及动态变量的场景,SRI是否有最佳实践?谢谢 我使用这个插件来处理我的构建文件:
我在构建完成后使用了一个钩子来运行它。我希望这对您有所帮助或让您离您足够近。“我正在尝试实现网页的子资源完整性。”-为什么?您是否控制传递脚本文件的服务器?“确实不可能预计算哈希”-嗯,也许不可以预计算,但您仍然可以在每次动态值更改时计算它。@Bergi非常感谢!我声明我正在尝试在脚本标记中为完整性添加哈希。我的第三方内容将根据我的主javascript中的某些参数动态加载。是否可以将某些潜在散列的组合添加到第三方javascript文件的脚本标记的完整性?否,但如果您有一个白名单,您可以计算允许的动态值到各自脚本散列的映射,然后决定使用哪个
完整性
。
<-- script src="https://example.com/<DYNAMIC_VALUE>.js" integrity="???" crossorigin="anonymous">
</script -->