2014年3月18日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了子资源完整性(Subresource Integrity)的首份公开的标准工作草案(First Public Working Draft)。Web站点和Web应用往往不是从单一源(single origin)获得所需的各类资源(脚本、图片、字体等),在从其他服务提供商或内容分发网络(CDN)获得资源时,Web站点(或应用)必须信任所获取的这些资源。攻击者可能通过DNS染毒(DNS poisoning)或向CDN注入恶意内容等机制诱骗用户从恶意服务器获得这些可能被篡改过的资源。
子资源完整性(Subresource Integrity)规范定义了一种机制,用户代理(如浏览器)可以通过验证所获取到的资源文件是否经过篡改,保证获得资源的完整性。
更多信息,请参阅W3C的安全标准计划(Security Activity)。
评论已关闭