html - 最佳 SRI 哈希大小是多少？-6ren

html - 最佳 SRI 哈希大小是多少？

转载作者：搜寻专家更新时间：2023-10-31 08:03:44

24

4

我最近发现了以下 nifty little site用于为外部加载的资源生成 SubResource Integrity (SRI) 标签。例如，输入最新的 jQuery URL ( https://code.jquery.com/jquery-3.3.1.min.js )，得到以下 <script>标签:

<script src="https://code.jquery.com/jquery-3.3.1.min.js" integrity="sha256-FgpCb/KJQlLNfOu91ta32o/NMZxltwRo8QtmkMRdAu8= sha384-tsQFqpEReu7ZLhBV2VZlAu7zcOV+rXbYlF2cqB8txI/8aZajjp4Bqd+V6D5IgvKT sha512-+NqPlbbtM1QqiK8ZAo4Yrj2c4lNQoGv8P79DPtKzj++l5jnN39rHA/xsqn8zE9l0uSoxaCdrOgFs6yjyfbBxSg==" crossorigin="anonymous"></script>

我了解 SRI 哈希的用途，并且我知道它们可以使用不同的哈希大小(256 位、384 位或 512 位)，但我以前从未见过像这样同时使用这三种哈希值。深入研究 MDN docs , 我发现

An integrity value may contain multiple hashes separated by whitespace. A resource will be loaded if it matches one of those hashes.

但是这种匹配究竟是如何进行的呢？在一个 SO 帖子中提出多个问题的时间......

浏览器是先匹配最长的哈希值，因为它更安全，还是先匹配最短的哈希值，因为它更快？
人们真的会期望一个哈希匹配而不是所有三个(除了开发人员错误输入哈希的微不足道的情况)吗？
提供所有三个哈希值而不是一个哈希值有什么好处吗？
与 #1 类似，如果您只提供一个哈希值，您应该使用哪个？我通常会看到网站(例如 Bootstrap)在其示例代码中提供 sha384 值。是不是因为它就在中间，不太大也不太小？
出于好奇，integrity 可以吗？属性可用于 <script> 旁边的任何标签和 <link> .我特别想知道像 <img> 这样的多媒体标签, <source>等

最佳答案

Do browsers attempt to match the longest hash first, since its more secure, or the shortest first, since its faster?

根据 https://w3c.github.io/webappsec-subresource-integrity/#agility , “用户代理将选择列表中最强的哈希函数”。

Would one really ever expect for one hash to match and not all three?

没有。但就浏览器行为而言:如果最强的哈希值匹配，浏览器将使用它并忽略其余的(因此不管其他是否匹配也无所谓)。

Is there any benefit to providing all three hashes instead of just one?

实践中没有当前的好处。那是因为根据 https://w3c.github.io/webappsec-subresource-integrity/#hash-functions , “符合标准的用户代理必须支持 SHA-256、SHA-384 和 SHA-512 加密哈希函数”。

所以目前，如果您只指定一个 SHA-512 哈希值，所有支持 SRI 的浏览器都会使用它。

但根据 https://w3c.github.io/webappsec-subresource-integrity/#agility指定多个散列的目的是“在面对 future 的密码学发现时提供敏捷性……鼓励作者在可用时开始迁移到更强大的散列函数”。

换句话说，在未来的某个时候，浏览器将开始添加对更强大的哈希函数(基于 SHA-3 的 https://en.wikipedia.org/wiki/SHA-3 或其他)的支持。

因此，由于您需要继续针对较旧的浏览器和较新的浏览器，因此在一段时间内，您会针对某些 SHA-512 是最强哈希函数的浏览器，同时还针对届时出现的新浏览器将增加对某些 SHA-3(或其他)哈希函数的支持。

所以在这种情况下，您需要在 integrity 中指定多个哈希值值(value)。

Similar to #1, If you only provide one hash value, which should you use?

SHA-512 值。

I typically see sites (e.g., Bootstrap) providing sha384-values in their example code. Is that because its right in the middle, not too big, not too small?

我不知道他们为什么选择那样做。但是，由于浏览器需要支持 SHA-512 哈希，因此您通过指定 SHA-384 哈希不会获得任何好处 — 事实上，您只是失去了拥有可用的最强哈希函数的值(value)。

Out of curiosity, can the integrity attribute be used on any tags beside <script> and <link>.

不，还不能。

I'm particularly wondering about multimedia tags like <img>, <source>, etc.

作为https://w3c.github.io/webappsec-subresource-integrity/#verification-of-html-document-subresources解释说，SRI 的计划一直是最终也用于那些 —

Note: A future revision of this specification is likely to include integrity support for all possible subresources, i.e., a, audio, embed, iframe, img, link, object, script, source, track, and video elements.

……但我们还没有进入那个 future 。

关于html - 最佳 SRI 哈希大小是多少？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/52101501/

24

4

0

文章推荐： iOS 应用程序在启动时崩溃

文章推荐： java - IntelliJ IDEA 无法导入依赖

文章推荐： ios - 更改沙箱帐户后，Apple IAP 恢复数据发送相同的收据

文章推荐： java - @ApiMethod 的复杂路径路由

c - 大小(数组)/大小(整数)
这个问题在这里已经有了答案: C sizeof a passed array [duplicate] (7 个回答) 8年前关闭。在一个函数中，我声明了一个数组: int char_count_ar
linux - 为什么文件系统有自己的 block 大小，而不是使用硬盘 block 大小？
简而言之，文件系统如何与 block 设备通信？最佳答案我对 block 大小不太了解。我认为 ext4(Linux)的文件系统的 block 大小是 4KB，考虑到现代处理器的页面大小(4KB)
mysql - tinyint(大小)，varchar(大小): "size" explaination
我知道 tinyint(1) 和 tinyint(2) 具有相同的存储空间范围。唯一的区别是显示宽度不同。这是否意味着 tinyint(1) 将存储所有类型的整数但只正确显示 0 到 9 的范围？而
c++ - 大小 8 的无效读取，大小 8 的无效写入 (Valgrind)
今晚我已经研究了以下代码几个小时，但我只是摸不着头脑。当使用函数从标准输入填充数组时，我不断收到“大小 8 的无效写入”和“大小 8 的无效读取”。如有任何帮助，我们将不胜感激...我知道 Sta
c - 大小 8 的无效读取，大小 8 的无效写入，C
我有一个 valgrind 错误，我不知道如何摆脱它们: ==5685== Invalid read of size 8 ==5685== at 0x4008A1: main (in /home
Hadoop block 大小 vs 拆分 vs block 大小
我对 Hadoop 的概念有点困惑。 Hadoop block 大小、拆分大小和 block 大小之间有什么区别？提前致谢。最佳答案 block 大小和 block 大小相同。拆分大小可能与
javascript - 超过 localStorage 配额(localStorage 大小!= 文件下载大小)& 如何检查 localStorage 大小
我想不出一个好的标题，所以希望可以。我正在做的是创建一个离线 HTML5 webapp。 “出于某些原因”我不希望将某些文件放在缓存 list 中，而是希望将内容放在 localStorage 中。
xamarin - 减少 Xamarin.Forms 中的 APK 大小，APK 大小 80MB
无法将 xamarin apk 大小减少到 80 MB 以下，已执行以下操作: 启用混淆器配置:发布平台:事件(任何 CPU)。启用 Multi-Dex:true 启用开发人员检测(调试和分析)
python - 读取多个 csv 文件(大小 mxm)并加载为 n 维数组(大小 nxmxm)(不连接)
我正在开发一个程序，需要将大量 csv 文件(数千个)加载到数组中。 csv 文件的尺寸为 45x100，我想创建一个尺寸为 nx45x100 的 3-d 数组。目前，我使用 pd.read_csv(
react-native - Flutter apk/ipa 大小 vs React Native apk/ipa 大小
Hello World 示例的 React Native APK 大小约为 20M (in recent versions)，因为支持不同的硬件架构(ARMv7、ARMv8、X86 等)，而同一应用程
python - 将 n 个元素(大小 = 2 字节，十进制)的列表拆分为 2n 个元素(大小 = 1 字节，十六进制)
我有一个包含 n 个十进制元素的列表，其中每个元素都是两个字节长。可以说: x = [9000 , 5000 , 2000 , 400] 这个想法是将每个元素拆分为 MSB 和 LSB 并将其存储在
GtkTextView 大小
如何设置 GtKTextView 的大小？我想我不能使用 gtk_widget_set_usize。最佳答案您不能直接控制小部件的大小，而是由其容器完成。您可以使用 gtk_widget_set_
具有函数的结构的c++大小
这个问题在这里已经有了答案: c++ sizeof() of a class with functions (7 个答案) 关闭 5 年前。结果是 12。 foobar 函数存储在内存中的什么位置
image - 为什么图像序列比源视频大(大小)？
当我在 ffmpeg(或任何其他程序)中使用这样的命令时: ffmpeg -i input.mp4 image%d.jpg 所有图像的组合文件大小总是比视频本身大。我尝试减少每秒帧数、降低压缩设置、模
clojurescript 高级编译 - 大小
我是 clojurescript 的新手。高级编译后出现“77 KB”的javascript文件是否正常？我有一个 clojurescript 文件: 我正在使用 leinigen: lein c
Qt QPixmap 大小
我想要一个 QPixmap尺寸为 50 x 50。我试过 : QPixmap watermark(QSize(50,50)); watermark.load(":/icoMenu/preparati
卷积层的 tensorflow 大小
我正在尝试从一篇研究论文中重新创建一个 cnn，但我对深度学习还是个新手。我得到了一个大小为 32x32x7 的 3d 补丁。我首先想执行一个大小为 3x3 的卷积，具有 32 个特征和步幅为 2。
iPhone如何在旋转设备时正确调整 View 大小
我一直在尝试调整 View Controller 内的 View 大小，但到目前为止没有运气。基本上，我的 View 最底部有一个按钮，当方向从纵向更改为横向时，该按钮不再可见，因为它现在太靠下了。
javascript - 上传前检查图像尺寸/大小
如何使用此功能检查图像的尺寸？我只是想在上传之前检查一下... $("#LINK_UPLOAD_PHOTO").submit(function () { var form = $(this);
二叉搜索树上的 JavaScript 大小
我用 C++ 完成了这个，因为你可以通过引用传递参数。我无法弄清楚如何在 JavaScript 中执行此操作。我的代码需要更改什么？我的输出是1 this.sizeOfBst = function()

首页

博学

6Ren·AI

商城

html - 最佳 SRI 哈希大小是多少？