【发布时间】:2018-06-12 06:54:33
【问题描述】:
我拥有一个网站,允许用户下载存储在内容分发网络 (CDN) 上的文件。从我的站点到 CDN 上文件的链接类似于 <a href=https://cdndomain.com/path/to/file>。我想为我的用户提供一种方法来确保该文件没有被 CDN 操纵。
当然,我可以在我的网站上发布文件的哈希值(这当然是受 SSL/TLS 保护的)。然后,在用户下载文件后,他们可以获取文件的哈希值并验证它是否与我网站上发布的哈希值匹配。这并不少见。但是,我的许多用户不够精明,无法理解这个过程。而且,即使对于那些人来说,这个过程也有些麻烦。我正在寻找一种更自动化/更方便的方法来确保该文件未被操纵。
我知道 Chrome、Firefox 和 Safari 现在支持 Content Security Policy (CSP) 和 Subresource Integrity (SRI)。使用 CSP/SRI,网站可以通过在 <script> 中包含目标文件的哈希值来确保在其他地方托管并由 <script> 或 <link> 标签引用的 .js 文件、.css 文件等未被操纵或使用integrity 属性的<link> 标签,例如:
<script src="https://code.jquery.com/jquery-3.2.1.slim.min.js" integrity="sha384-KJ3o2DKtIkvYIK3UENzmM7KCkRr/rE9/Qpg6aAZGJwFDMVNA/GpGFF93hXpG5KkN" crossorigin="anonymous"></script>
或
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-beta.3/css/bootstrap.min.css" integrity="sha384-Zug+QiDoJOrZ5t4lssLdxGhVrurbmBWopoEl+M6BdEfwnCJZtKxi1KgxUyJq13dy" crossorigin="anonymous">
这非常方便,因为浏览器会检查目标文件的哈希值是否与 integrity 属性“幕后”中指定的哈希值匹配,而无需任何用户干预。从 CDN 下载文件后,浏览器获取文件的哈希值并检查此哈希值是否与 <script> 或 <link> 标签的 integrity 属性中提供的哈希值匹配。如果哈希不匹配,浏览器会警告用户并且不执行脚本或应用 css 样式表。
我正在为<a> 标签中引用的资源寻找类似的东西——我可以在<a> 标签中指定目标资源的哈希值,并且浏览器将在下载资源后执行类似的检查来自 CDN,但在将其提供给用户之前,如果哈希值不匹配,则警告用户。但是根据上面引用的 MDN 文档,CSP 和 SRI 仅适用于 <script> 标签和 <link> 标签,不适用于 <a> 标签。
有人知道解决办法吗?
【问题讨论】:
-
这个问题可以通过使用 javascript 函数来解决,该函数从提供受信任校验和的同一服务器提供,以验证来自不受信任服务器的下载的完整性。请参阅meixler-tech.com/aivwd 了解更多信息。
标签: security hash content-security-policy subresource-integrity