require-sri-for 질문
CSP에서 require-sri-for script를 사용하면 script에 integrity 속성이 무조건 들어가야 로드되고 아니면 로드되지 않는다고 이해했습니다.
require-sri-for의 integrity를 확인할 때 스크립트 내용의 해시를 직접 구하고 integrity에 있는 hash 값과 같은지 비교하는 식인가요?
아니면 script-src로 동일하게 넣어줘야하는건가요?
전자라고 생각하고 c의 hash 값과 require-sri-for script를 사용하면 integrity 속성이 없는 a,b,c를 block하는데 c는 script-src에 allow하는 src여서 c랑 마지막 스크립트가 실행될거라고 생각했는데 그렇지 않더라구요 ㅜ 왜그런건가요??
#web
작성자 정보
답변
1
5unkn0wn
강의 수강: 50
안녕하세요, 우선 require-sri-for가 integrity를 확인할 때에는 말씀하신 전자의 방식이 맞습니다.
다만 mozilla 공식 문서를 참조해보니, 해당 기능은 지원이 중단되어서 안되는 것 같습니다ㅠㅠ
실제로 크롬에서 테스트해보니 console 창에 Unrecognized Content-Security-Policy directive 'require-sri-for'. 라고 뜨는 것으로 보아 크롬에선 이미 지원이 중단된 것으로 보입니다.
의도된 풀이 방법은 라이트업에 적어주신 방법이 맞습니다 !!
질문에 대한 답을 알고 계신가요?
지식을 나누고 포인트를 획득해보세요.
답변하고 포인트 받기 지식을 나누고 포인트를 획득해보세요.
