我有一些网页试图从file:///加载到浏览器中,我在JS和CSS上有完整性哈希。
JS和CSS加载时不使用<link>和<script>标记中存在的完整性哈希,但加载时删除了它。
$ openssl dgst -sha384 -binary assets/css/bootstrap.min.css | openssl base64 -A
MCw98/SFnGE8fJT3GXwEOngsV7Zt27NXFoaoApmYm81iuXoPkFOJwJ8ERdknLPMO
我有以下<script>标签:
<link rel="stylesheet" href="assets/css/bootstrap.min.css" integrity="sha384-MCw98/SFnGE8fJT3GXwEOngsV7Zt27NXFoaoApmYm81iuXoPkFOJwJ8ERdknLPMO">
通常,为完整性属性提供的哈希值是根据文件内容生成的。因此,请确保您正在从文件"assets/css/bootstrap.min.css"生成适当的哈希。可以从中找到全面的解释https://www.smashingmagazine.com/2019/04/understanding-subresource-integrity/