valor todas son que name los lista las etiquetas cuáles atributos atributo html html5 cross-domain cors subresource-integrity

todas - que es un valor en html



¿Cuáles son los atributos de integridad y origen cruzado? (2)

Ambos atributos se han agregado a Bootstrap CDN para implementar la Integridad de los recursos secundarios .

Subresource Integrity define un mecanismo por el cual los agentes de usuario pueden verificar que se haya entregado un recurso obtenido sin manipulación inesperada Reference

El atributo de integridad es permitir que el navegador verifique la fuente del archivo para asegurarse de que el código nunca se cargue si la fuente ha sido manipulada.

El atributo Crossorigin está presente cuando se carga una solicitud utilizando ''CORS'', que ahora es un requisito de verificación SRI cuando no se carga desde el ''mismo origen''. Más información sobre crossorigin

Más detalles sobre la implementación de CDN de Bootstrap

Bootstrapcdn cambió recientemente sus enlaces. Ahora se ve así:

<link href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/css/bootstrap.min.css" rel="stylesheet" integrity="sha256-MfvZlkHCEqatNoGiOXveE8FIwMzZg4W85qfrfIFBfYc= sha512-dTfge/zgoMYpP7QbHy4gWMEGsbsdZeCXz7irItjcC3sPUFtf0kuFbDz/ixG7ArTxmDjLXDmezHubeNikyKGVyQ==" crossorigin="anonymous">

¿Qué significan los atributos de integrity y origen crossorigin ? ¿Cómo afectan la carga de la hoja de estilo?


integridad : define el valor hash de un recurso (como una suma de comprobación) que debe coincidir para que el navegador lo ejecute. El hash asegura que el archivo no se modificó y contiene los datos esperados. De esta manera, el navegador no cargará recursos diferentes (por ejemplo, maliciosos). Imagine una situación en la que sus archivos JavaScript fueron pirateados en el CDN, y no había forma de saberlo. El atributo de integridad impide cargar contenido que no coincide.

El SRI no válido se bloqueará (herramientas de desarrollador de Chrome), independientemente del origen cruzado. Debajo del caso NO CORS cuando el atributo de integridad no coincide:

La integridad se puede calcular usando: https://www.srihash.org/ O escribiendo en la consola ( https://www.srihash.org/ ):

openssl dgst -sha384 -binary FILENAME.js | openssl base64 -A

crossorigin : define las opciones utilizadas cuando el recurso se carga desde un servidor en un origen diferente. (Ver CORS (Cross-Origin Resource Sharing) aquí: https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS ). Cambia efectivamente la solicitud HTTP enviada por el navegador. Si se agrega el atributo “crossorigin”, se agregará origen: par clave-valor <ORIGIN> en la solicitud HTTP como se muestra a continuación.

crossorigin se puede establecer en: "anónimo" o "credenciales de uso". Ambos resultarán en agregar origen: en la solicitud. Sin embargo, este último garantizará que se verifiquen las credenciales. Ningún atributo de origen cruzado en la etiqueta dará como resultado el envío de una solicitud sin origen: par clave-valor.

Aquí hay un caso al solicitar "credenciales de uso" de CDN:

<script src="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-alpha.6/js/bootstrap.min.js" integrity="sha384-vBWWzlZJ8ea9aCX4pEW3rVHjgjt7zpkNpZk+02D9phzyeVkE+jo0ieGizqPLForn" crossorigin="use-credentials"></script>

Un navegador puede cancelar la solicitud si el origen cruzado está configurado incorrectamente.

Campo de golf
- https://www.w3.org/TR/cors/
- https://tools.ietf.org/html/rfc6454
- https://developer.mozilla.org/en-US/docs/Web/HTML/Element/link

Blogs
- https://frederik-braun.com/using-subresource-integrity.html
- https://web-security.guru/en/web-security/subresource-integrity