Intégrité des sous-ressources - Subresource Integrity
L'intégrité des sous-ressources ou SRI est une recommandation du W3C pour fournir une méthode pour protéger la livraison du site Web. Plus précisément, il valide les actifs servis par un tiers, tel qu'un réseau de diffusion de contenu (CDN). Cela garantit que ces actifs n'ont pas été compromis à des fins hostiles. Le SRI a été créé en réponse à un certain nombre d'attaques où le contenu servi par CDN a été injecté avec un code malveillant, compromettant des milliers de sites Web l'utilisant.
Pour utiliser le SRI, un auteur de site Web souhaitant inclure une ressource d'un tiers peut spécifier un hachage cryptographique de la ressource en plus de l'emplacement de la ressource. Les navigateurs qui récupèrent la ressource peuvent alors comparer le hachage fourni par l'auteur du site Web avec le hachage calculé à partir de la ressource. Si les hachages ne correspondent pas, la ressource est supprimée.
Un exemple d' script élément avec integrity et crossorigin attribut utilisé par le SRI:
<script src="https://cdn.example.com/app.js" integrity="sha384-+/M6kredJcxdsqkczBUjMLvqyHb1K/JThDXWsBVxMEeZHEaMKEOEct339VItX1zB" crossorigin="anonymous"></script>