HTML <script > integriteitskenmerk
Voorbeeld
Link naar een CDN, met behulp van zowel de integriteit- als de cross-origin-attributen:
<script src="https://code.jquery.com/jquery-3.3.1.slim.min.js"
integrity="sha384-q8i/X+965DzO0rT7abK41JStQIAqVgRVzpbzo5smXKp4YfRvH+8abtTE1Pi6jizo"
crossorigin="anonymous">
</script>
Definitie en gebruik
Met integritydit attribuut kan een browser het opgehaalde script controleren om er zeker van te zijn dat de code nooit wordt geladen als de bron is gemanipuleerd.
Subresource Integrity (SRI) is een W3C-specificatie waarmee webontwikkelaars ervoor kunnen zorgen dat bronnen die op servers van derden worden gehost, niet zijn gewijzigd. Gebruik van SRI wordt aanbevolen!
Bij gebruik van SRI bevat de webpagina de hash en de server het bestand (in dit geval het .js-bestand). De browser downloadt het bestand en controleert het vervolgens om er zeker van te zijn dat het overeenkomt met de hash in het integrityattribuut. Als het overeenkomt, wordt het bestand gebruikt, en zo niet, dan wordt het bestand geblokkeerd.
U kunt een online SRI-hashgenerator gebruiken om integriteitshashes te genereren: SRI Hash Generator
Browserondersteuning
De getallen in de tabel geven de eerste browserversie aan die het kenmerk volledig ondersteunt.
| Attribute | |||||
|---|---|---|---|---|---|
| integrity | 45.0 | 17.0 | 43.0 | 13.0 | 66.0 |
Syntaxis
<script integrity="filehash">
Attribuutwaarden
| Value | Description |
|---|---|
| filehash | The file hashing value of the external script file |
❮ HTML <script>-tag