CSP: require-sri-for
CSP: require-sri-for
HTTP Content-Security-Policy require-sri-for指令指示客户端要求在页面上使用子资源完整性用于脚本或样式。
句法
Content-Security-Policy: require-sri-for script;
Content-Security-Policy: require-sri-for style;
Content-Security-Policy: require-sri-for script style;
script需要SRI的脚本。style需要SRI的样式表。对于脚本和样式表都script style需要SRI。
示例
如果您使用此指令将站点设置为需要SRI以获得脚本和样式:
Content-Security-Policy: require-sri-for script style
<script> 像下面这样的元素将被加载,因为它们使用有效的完整性属性。
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
crossorigin="anonymous"></script>
但是,没有完整性的脚本将不会再加载:
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>
规范
| 规范 | 状态 | 评论 |
|---|---|---|
| 子资源完整性该规范中'require-sri-for'的定义。 | 建议 | 初始定义。 |
浏览器兼容性
| 特征 | Chrome | Edge | Firefox | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
| 基本支持 | No | No | 49.0 | No | No | No |
| 特征 | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
|---|---|---|---|---|---|---|---|
| 基本支持 | No | No | No | 49.0 | No | No | No |
