Subresource Integrity

子资源完整性 (Subresource Integrity) 详解

子资源完整性 (Subresource Integrity, SRI) 是一种Web安全机制，旨在防止由于第三方资源（例如从内容分发网络 (CDN) 加载的JavaScript库、CSS样式表、字体文件等）被篡改而导致的网页安全问题。随着Web应用越来越依赖第三方资源来提高性能和简化开发，确保这些资源的完整性变得至关重要。本文将深入探讨 SRI 的原理、实现方式、优势、局限性以及如何在实际应用中使用它。

为什么需要子资源完整性？

传统的Web开发中，浏览器直接从服务器（包括CDN）下载资源。如果攻击者攻陷CDN服务器或在传输过程中拦截并修改了资源，他们就可以插入恶意代码到你的网站中。这种攻击被称为 中间人攻击 (Man-in-the-Middle Attack, MITM), 它可以导致以下安全问题：

跨站脚本攻击 (Cross-Site Scripting, XSS): 攻击者可以注入恶意JavaScript代码，窃取用户数据或劫持用户会话。跨站脚本攻击
网站篡改 (Website Defacement): 攻击者可以修改网站内容，传播虚假信息或损害网站声誉。
恶意软件传播 (Malware Distribution): 攻击者可以利用被篡改的资源传播恶意软件。

SRI通过提供一种验证机制，确保浏览器只加载未被篡改的资源，从而有效地缓解这些风险。它类似于数字签名，但无需服务器端配置，完全由浏览器完成验证。

SRI 的工作原理

SRI 的核心在于使用哈希函数 (Hash Function)来生成资源的完整性校验值。哈希函数是一种单向函数，它可以将任意长度的输入数据转换为固定长度的输出值（哈希值）。即使输入数据发生微小的变化，哈希值也会发生巨大的变化。

当开发者使用 SRI 时，他们会：

1. 生成资源的哈希值。常用的哈希算法包括 SHA-256、SHA-384 和 SHA-512。哈希函数 2. 在HTML标签中添加 `integrity` 属性，并将生成的哈希值作为其值。 3. 浏览器在下载资源时，会计算资源的哈希值。 4. 浏览器将计算出的哈希值与 `integrity` 属性中的哈希值进行比较。 5. 如果两个哈希值匹配，浏览器会加载资源。否则，浏览器会拒绝加载资源，并显示错误信息。

如何实现 SRI

以下是一个使用 SRI 的示例：

```html <script src="https://example.com/jquery.min.js"

       integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqRsfEktUj/aJoXKJ+WBpwIMYkxh4m3H6uEQ"
       crossorigin="anonymous"></script>

```

在这个例子中：

`src` 属性指定了资源的 URL。
`integrity` 属性包含了SHA-384哈希值。
`crossorigin="anonymous"` 属性告诉浏览器以匿名方式加载资源，这对于跨域请求是必需的。跨域资源共享 (CORS)

生成哈希值的工具：

在线工具：有很多在线工具可以用来生成资源的哈希值，例如 [1](https://www.base64encode.org/subresource-integrity)
命令行工具：可以使用OpenSSL等命令行工具来生成哈希值。例如：`openssl dgst -sha384 jquery.min.js`

SRI 哈希算法比较
哈希算法	长度 (位)	安全性	性能
SHA-256	256	高	较快
SHA-384	384	较高	较慢
SHA-512	512	最高	最慢

选择哪个哈希算法取决于安全性和性能之间的权衡。一般来说，SHA-256 已经足够安全，并且性能良好。对于对安全性要求更高的应用，可以选择 SHA-384 或 SHA-512。

SRI 的优势

增强安全性：防止恶意代码注入，保护用户数据和网站安全。
无需服务器端配置：SRI 完全由浏览器完成验证，无需修改服务器端代码。
提升用户体验：即使 CDN 服务器被攻击，用户仍然可以访问未被篡改的资源。
兼容性好：现代浏览器都支持 SRI。浏览器兼容性
易于实施：只需在 HTML 标签中添加 `integrity` 属性即可。

SRI 的局限性

哈希值更新：如果资源更新，哈希值也会发生变化，需要更新 HTML 代码中的 `integrity` 属性。这可能需要自动化构建过程来处理。
CDN 缓存问题：如果 CDN 缓存了旧版本的资源，即使 HTML 代码中的 `integrity` 属性已经更新，浏览器仍然可能会加载旧版本的资源。解决这个问题的方法是在 CDN 上配置适当的缓存控制策略。HTTP 缓存
不支持所有资源类型：SRI 主要用于 JavaScript、CSS 和字体文件。对于其他资源类型，例如图片，通常可以使用其他的安全机制。
哈希碰撞：虽然哈希碰撞的可能性很小，但仍然存在。哈希碰撞

SRI 与 Content Security Policy (CSP)

内容安全策略 (Content Security Policy, CSP) 是一种强大的安全机制，可以限制浏览器可以加载的资源类型和来源。 SRI 可以作为 CSP 的一部分，进一步增强安全性。

例如，可以使用 CSP 来限制浏览器只能从受信任的 CDN 加载 JavaScript 资源，并使用 SRI 来验证这些资源的完整性。

以下是一个 CSP 示例：

```html <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://example.com;"> ```

这个 CSP 策略允许浏览器从自己的域名和 `https://example.com` 加载资源。

内容安全策略

实际应用场景

使用流行的 JavaScript 库：例如 jQuery、React、Angular 等。
从 CDN 加载 CSS 样式表：例如 Bootstrap、Font Awesome 等。
加载字体文件：例如 Google Fonts。
保护 Web 应用免受供应链攻击：通过验证第三方资源的完整性，可以降低供应链攻击的风险。供应链攻击

在二元期权交易中的安全考量

虽然 SRI 主要是针对Web安全，但其理念可以延伸到二元期权交易平台。在二元期权交易中，交易平台的数据完整性和安全性至关重要。

交易数据完整性：确保交易记录、价格数据和用户账户信息没有被篡改。可以使用类似哈希校验的方法来验证数据的完整性。
交易平台代码完整性：防止攻击者修改交易平台的代码，从而操纵交易结果。 SRI 可以用来验证交易平台代码的完整性。
安全通信：使用 HTTPS 协议来加密交易数据，防止中间人攻击。HTTPS
风险管理：实施严格的风险管理策略，防止欺诈行为和市场操纵。风险管理
技术分析指标的可靠性：确保用于生成技术分析指标的数据源是可靠和安全的。技术分析
成交量分析的准确性：验证成交量数据的真实性，防止虚假成交量误导交易者。成交量分析
交易策略的安全性：确保交易策略的执行代码没有被篡改，防止恶意操作。交易策略
账户安全：使用双因素认证 (2FA) 等安全措施来保护用户账户。双因素认证
监管合规：遵守相关的监管规定，确保交易平台的合法性和安全性。金融监管
流动性提供商的可靠性：选择信誉良好的流动性提供商，确保交易的顺利进行。流动性提供商
API 安全：如果交易平台使用 API，则需要确保 API 的安全性，防止未经授权的访问。API 安全
服务器安全：定期更新服务器软件，并实施防火墙等安全措施，防止服务器被攻击。服务器安全
漏洞扫描：定期进行漏洞扫描，及时发现并修复安全漏洞。漏洞扫描
渗透测试：定期进行渗透测试，模拟攻击场景，评估交易平台的安全性。渗透测试
用户教育：教育用户如何识别和防范网络钓鱼和欺诈行为。网络安全意识

总结

Subresource Integrity 是一种简单而有效的安全机制，可以帮助保护 Web 应用免受第三方资源篡改的威胁。通过在 HTML 标签中添加 `integrity` 属性，可以确保浏览器只加载未被篡改的资源。虽然 SRI 存在一些局限性，但其优势远大于劣势。在实际应用中，SRI 可以与其他安全机制（例如 CSP）结合使用，进一步增强安全性。在二元期权交易平台中，SRI 的理念可以延伸到交易数据、平台代码和通信安全等方面，确保交易的公平性和透明度。

Web 安全性跨站脚本攻击哈希函数跨域资源共享 (CORS) 浏览器兼容性哈希碰撞内容安全策略供应链攻击 HTTPS 风险管理技术分析成交量分析交易策略金融监管流动性提供商 API 安全服务器安全漏洞扫描渗透测试网络安全意识 HTTP 缓存双因素认证

立即开始交易

注册 IQ Option （最低存款 $10）开设 Pocket Option 账户（最低存款 $5）

加入我们的社区

订阅我们的 Telegram 频道 @strategybin 获取： ✓ 每日交易信号 ✓ 独家策略分析 ✓ 市场趋势警报 ✓ 新手教育资源