アカウント名:
パスワード:
最近はintegrity付きでCDNから読み込むタグの例が書かれてることも多いから、ちゃんとそういうタグを使うようにしてれば大丈夫そう。
https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity [mozilla.org]
えー。多いか?初めて知った。積極的に使っていきたい。
去年のStatCounterの件でもSRIは紹介されてた。 [security.srad.jp]
SRIの難点はセキュリティホール等の致命的バグが有った時に、呼び出し元もハッシュを修正しないとサイトの機能が死ぬ点。
似たような点で、呼び出し元のスクリプトがバージョン管理されていてファイル名が分かれていないと厳しいこともかな。同じファイル名で機能追加するようなスクリプト配信には向かない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
integrity (スコア:2, 参考になる)
最近はintegrity付きでCDNから読み込むタグの例が書かれてることも多いから、ちゃんとそういうタグを使うようにしてれば大丈夫そう。
https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity [mozilla.org]
Re: (スコア:0)
えー。多いか?初めて知った。積極的に使っていきたい。
Re: (スコア:0)
去年のStatCounterの件でもSRIは紹介されてた。 [security.srad.jp]
SRIの難点はセキュリティホール等の致命的バグが有った時に、呼び出し元もハッシュを修正しないとサイトの機能が死ぬ点。
Re:integrity (スコア:0)
似たような点で、呼び出し元のスクリプトがバージョン管理されていてファイル名が分かれていないと厳しいこともかな。
同じファイル名で機能追加するようなスクリプト配信には向かない。