CSP: require-sri-for
廃止
この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。
HTTP の Content-Security-Policy
における require-sri-for
ディレクティブは、クライアントにページ上でスクリプトやスタイルのサブリソース完全性を要求することを支持します。
構文
Content-Security-Policy: require-sri-for script; Content-Security-Policy: require-sri-for style; Content-Security-Policy: require-sri-for script style;
例
このディレクティブを使ってスクリプトやスタイルに SRI を要求するようにサイトを設定している場合の設定です。
Content-Security-Policy: require-sri-for script style
以下のような <script>
要素は正しい integrity
属性を使用している場合に限り、読み込まれます。
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
crossorigin="anonymous"></script>
しかし、 integrity
のないスクリプトは読み込まれなくなります。
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>
ブラウザーの互換性
BCD tables only load in the browser