CSP: require-sri-for

CSP: require-sri-for

HTTP Content-Security-Policy require-sri-for指令指示客户端要求在页面上使用子资源完整性用于脚本或样式。

句法

Content-Security-Policy: require-sri-for script; Content-Security-Policy: require-sri-for style; Content-Security-Policy: require-sri-for script style;

script需要SRI的脚本。style需要SRI的样式表。对于脚本和样式表都script style需要SRI。

示例

如果您使用此指令将站点设置为需要SRI以获得脚本和样式:

Content-Security-Policy: require-sri-for script style

<script> 像下面这样的元素将被加载,因为它们使用有效的完整性属性。

<script src="https://code.jquery.com/jquery-3.1.1.slim.js" integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA=" crossorigin="anonymous"></script>

但是,没有完整性的脚本将不会再加载:

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>

规范

规范状态评论
子资源完整性该规范中'require-sri-for'的定义。建议初始定义。

浏览器兼容性

特征ChromeEdgeFirefoxInternet ExplorerOperaSafari
基本支持NoNo49.0NoNoNo

特征AndroidChrome for AndroidEdge mobileFirefox for AndroidIE mobileOpera AndroidiOS Safari
基本支持NoNoNo49.0NoNoNo