本站实验:SRI Hash

本站正式启用 SRI 策略,该策略有助于来减少由“托管在 CDN 的资源被篡改”而引入的 XSS 等风险。
具体操作为:在标签中添加sha256-,sha384-或者sha512-开头的SHA-2缩略信息,浏览器进行验证。

SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性,它也是由 Web 应用安全工作组(Web Application Security Working Group)发布的草案。
https://www.w3.org/TR/SRI

但启用 SRI 策略后,浏览器一定会进行 CORS 校验,这就要求被请求的资源必须同域,或者配置了 Access-Control-Allow-Origin 响应头。