Content-Security-Policyやらsubresource integrityなどに関するメモ

aereal https://blog.hatena.ne.jp/aereal/ Sexually Knowing https://this.aereal.org/ security 最近、セキュリティに特に気をかけなければいけないサービスの開発をしていて調べた知見のメモ。 subresource integrity Subresource Integrity - Web security | MDNいわゆるチェックサムの仕組み。 integrity 属性に ${hashalgorithm}-${hashdigest} 形式の値を書いておき、フェッチしたファイルのハッシュ値が一致していなければブラウザが読み込みをブロックする。これは、たとえばCDNが攻撃されるなどしてスクリプトなどが改竄された場合に有効。JSやCSSはプリ・ポストプロセッサで処理し出力することがほとんどだろ… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fthis.aereal.org%2Fentry%2F2017%2F07%2F28%2F163044" title="Content-Security-Policyやらsubresource integrityなどに関するメモ - Sexually Knowing" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2017-07-28 16:30:44 Content-Security-Policyやらsubresource integrityなどに関するメモ rich https://this.aereal.org/entry/2017/07/28/163044 1.0 100%