我如何确保我通过CDN交付的JavaScript文件不会被更改?
问题描述
我正在处理一个场景,其中一些JavaScript文件将托管在CDN上。我希望有一些机制,这样当这些文件在用户端下载时,我可以确保这些文件没有被篡改,并且确实来自指定的CDN。
我知道如果我使用SSL,这项任务会非常容易,但我仍然希望确保即使在不使用SSL的HTTP上也能提供正确的文件。
就我所能搜索到的,目前还没有像跨平台支持的JavaScript文件数字签名这样的现有机制。也许不需要它?
浏览器中是否内置了一些方法来验证JavaScript文件的作者?我可以做些什么来以安全的方式完成此操作?
推荐答案
事实上,这样的功能是currently being drafted在子资源完整性的名称下。查看 但是请注意,如果您通过纯HTTP传输资源,将不会保护您免受Man in the Middle attacks的影响。在这种情况下,攻击者可以伪造哈希代码,从而使防御被篡改的脚本文件变得毫无用处。 因此,除了上述安全措施外,您应该始终使用安全HTTPS连接,而不是纯HTTP。 这篇关于我如何确保我通过CDN交付的JavaScript文件不会被更改?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持吉威生活! [英文标题]How can I make sure that my JavaScript files delivered over a CDN are not altered?
声明:本媒体部分图片、文章来源于网络,版权归原作者所有,如有侵权,请联系QQ:330946442删除。
