廃止
この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。
HTTP の Content-Security-Policy における require-sri-for ディレクティブは、クライアントにページ上でスクリプトやスタイルのサブリソース完全性を要求することを支持します。
構文
Content-Security-Policy: require-sri-for script; Content-Security-Policy: require-sri-for style; Content-Security-Policy: require-sri-for script style;
例
このディレクティブを使ってスクリプトやスタイルに SRI を要求するようにサイトを設定している場合の設定です。
Content-Security-Policy: require-sri-for script style
以下のような <script> 要素は正しい integrity 属性を使用している場合に限り、読み込まれます。
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
crossorigin="anonymous"></script>
しかし、 integrity のないスクリプトは読み込まれなくなります。
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>
ブラウザーの互換性
Update compatibility data on GitHub
| デスクトップ | モバイル | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
require-sri-for | Chrome 完全対応 54 | Edge 完全対応 79 | Firefox
未対応
49 — 68
| IE 未対応 なし | Opera 完全対応 41 | Safari 未対応 なし | WebView Android 完全対応 54 | Chrome Android 完全対応 54 | Firefox Android
未対応
49 — 68
| Opera Android 完全対応 41 | Safari iOS 未対応 なし | Samsung Internet Android 完全対応 6.0 |
凡例
- 完全対応
- 完全対応
- 未対応
- 未対応
- 実験的。動作が変更される可能性があります。
- 実験的。動作が変更される可能性があります。
- 非標準。ブラウザー間の互換性が低い可能性があります。
- 非標準。ブラウザー間の互換性が低い可能性があります。
- 非推奨。新しいウェブサイトでは使用しないでください。
- 非推奨。新しいウェブサイトでは使用しないでください。
- ユーザーが明示的にこの機能を有効にしなければなりません。
- ユーザーが明示的にこの機能を有効にしなければなりません。