Autor Zpráva
luma64
Profil
Pozdravujem ! V aplikácii sa odkazujem na externý súbor, napríklad:
<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.5/jquery.min.js"></script> 
Do akej miery je tento krok bezpečný, nakoľko nemám externý script kontrolu.
Firibix
Profil
Reakce na luma64:
Je tak bezpečný, nakolik důvěřuješ tomu, kdo ten skript má pod kontrolou. Nicméně dnešní prohlížeče podporují mechanismus Subresource Integrity. Ten umožňuje ke scriptu přidat atribut integrity, do kterého vložíš hash cílového skriptu. Pokud se tebou uvedený hash neshoduje s hashem souboru, který si prohlížeč stáhnul (např. proto, že jej vlastník bez tvého vědomí změnil), skript nespustí.
Bubák
Profil
Pokud je script připojen http protokolem, tak ho může kdokoliv cestou změnit.
Pokud je script připojen http protokolem, tak na https stránce nepoběží, bo to prohlížeče nedovolí.

Neví někdo, zda se kešují https soubory pro použití napříč doménami. Já si myslím, že ne, ale vůbec si tím nejsem jistý.
luma64
Profil
Ďakujem veľmi pekne za informáciu, pomohlo !!!


Vyriešil som to takto. Na stránke https://www.srihash.org/
je možnosť vygenerovať si podľa zvoleného hash celý link, vrátene hash ( v tomto prípade SHA-384) , teda generátor na spomenutej stránke mi z vloženej linky
https://cdnjs.cloudflare.com/ajax/libs/font-awesome/5.13.0/css/all.min.css
vygeneruje link vrátane hash, ktorý potom uložím do html kódu a tento mi zabezpečí spustenie očakávaného kódu
<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/5.13.0/css/all.min.css" integrity="sha384-Bfad6CLCknfcloXFOyFnlgtENryhrpZCe29RTifKEixXQZ38WheV+i/6YWSzkz3V" crossorigin="anonymous">
blaaablaaa
Profil
Bubák:
"Neví někdo, zda se kešují https soubory pro použití napříč doménami. Já si myslím, že ne, ale vůbec si tím nejsem jistý."
Už ne, ani http, šlo takhle relativně spolehlivě trackovat navštívené stránky uživatele.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0