CSP: require-sri-for

Obsolète: Cette fonctionnalité a été supprimée des standards du Web. Bien que quelques navigateurs puissent encore la supporter, elle est en cours d'éradication. Ne l'utilisez ni dans d'anciens projets, ni dans de nouveaux. Les pages et applications Web l'utilisant peuvent cesser de fonctionner à tout moment.

La directive HTTP Content-Security-Policy require-sri-for informe l'agent utilisateur de requérir la vérification d'intégrité des sous-ressources pour les scripts et styles de la page.

Syntaxe

Content-Security-Policy: require-sri-for script;
Content-Security-Policy: require-sri-for style;
Content-Security-Policy: require-sri-for script style;
script

Requiert SRI pour les scripts.

style

Requiert SRI pour les feuilles de styles.

script style

Requiert SRI pour les deux, scripts et feuilles de styles.

Exemples

Soit cet en-tête CSP :

Content-Security-Policy: require-sri-for script style

Cet élément <script> sera chargé et exécuté puisqu'il utilise un attribut integrity valide.

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
        integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
        crossorigin="anonymous"></script>

Toutefois, ce script sera bloqué car il n'utilise pas cet attribut :

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>

Compatibilité des navigateurs

BCD tables only load in the browser

Voir aussi