HTML <script > -Integritätsattribut
Beispiel
Link zu einem CDN, wobei sowohl die Integritäts- als auch die Crossorigin-Attribute verwendet werden:
<script src="https://code.jquery.com/jquery-3.3.1.slim.min.js"
integrity="sha384-q8i/X+965DzO0rT7abK41JStQIAqVgRVzpbzo5smXKp4YfRvH+8abtTE1Pi6jizo"
crossorigin="anonymous">
</script>
Definition und Verwendung
Das integrityAttribut ermöglicht es einem Browser, das abgerufene Skript zu überprüfen, um sicherzustellen, dass der Code niemals geladen wird, wenn die Quelle manipuliert wurde.
Subresource Integrity (SRI) ist eine W3C-Spezifikation, mit der Webentwickler sicherstellen können, dass Ressourcen, die auf Servern von Drittanbietern gehostet werden, nicht verändert wurden. Die Verwendung von SRI wird empfohlen!
Bei der Verwendung von SRI enthält die Webseite den Hash und der Server die Datei (in diesem Fall die .js-Datei). Der Browser lädt die Datei herunter und überprüft sie dann, um sicherzustellen, dass sie mit dem Hash im integrityAttribut übereinstimmt. Wenn sie übereinstimmt, wird die Datei verwendet, und wenn nicht, wird die Datei blockiert.
Sie können einen Online-SRI-Hash-Generator verwenden, um Integritäts-Hashes zu generieren: SRI-Hash-Generator
Browser-Unterstützung
Die Zahlen in der Tabelle geben die erste Browserversion an, die das Attribut vollständig unterstützt.
| Attribute | |||||
|---|---|---|---|---|---|
| integrity | 45.0 | 17.0 | 43.0 | 13.0 | 66.0 |
Syntax
<script integrity="filehash">
Attributwerte
| Value | Description |
|---|---|
| filehash | The file hashing value of the external script file |
❮ HTML <script>-Tag