CSP: require-sri-for

廃止

この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。

HTTPContent-Security-Policy における require-sri-for ディレクティブは、クライアントにページ上でスクリプトやスタイルのサブリソース完全性を要求することを支持します。

構文

Content-Security-Policy: require-sri-for script;
Content-Security-Policy: require-sri-for style;
Content-Security-Policy: require-sri-for script style;
script
SRI をスクリプトに要求します。
style
SRI をスタイルシートに要求します。
script style
SRI をスクリプトとスタイルシートの両方に要求します。

このディレクティブを使ってスクリプトやスタイルに SRI を要求するようにサイトを設定している場合の設定です。

Content-Security-Policy: require-sri-for script style

以下のような <script> 要素は正しい integrity 属性を使用している場合に限り、読み込まれます。

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
        integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
        crossorigin="anonymous"></script>

しかし、 integrity のないスクリプトは読み込まれなくなります。

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>

ブラウザーの互換性

BCD tables only load in the browser

関連情報