Diskuse JPW: Externý javascript z webu

	Autor	Zpráva
	luma64 Profil	#1 · Zasláno: 24. 11. 2021, 10:02:39 Odpovědět Citovat Pozdravujem ! V aplikácii sa odkazujem na externý súbor, napríklad: <script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.5/jquery.min.js"></script> Do akej miery je tento krok bezpečný, nakoľko nemám externý script kontrolu.
	Firibix Profil	#2 · Zasláno: 24. 11. 2021, 10:12:05 Odpovědět Citovat Reakce na luma64: Je tak bezpečný, nakolik důvěřuješ tomu, kdo ten skript má pod kontrolou. Nicméně dnešní prohlížeče podporují mechanismus Subresource Integrity. Ten umožňuje ke `script`u přidat atribut `integrity`, do kterého vložíš hash cílového skriptu. Pokud se tebou uvedený hash neshoduje s hashem souboru, který si prohlížeč stáhnul (např. proto, že jej vlastník bez tvého vědomí změnil), skript nespustí.
	Bubák Profil	#3 · Zasláno: 24. 11. 2021, 23:06:43 Odpovědět Citovat Pokud je script připojen http protokolem, tak ho může kdokoliv cestou změnit. Pokud je script připojen http protokolem, tak na https stránce nepoběží, bo to prohlížeče nedovolí. Neví někdo, zda se kešují https soubory pro použití napříč doménami. Já si myslím, že ne, ale vůbec si tím nejsem jistý.
	luma64 Profil	#4 · Zasláno: 25. 11. 2021, 06:48:20 · Upravil/a: luma64 o 44 minut později Odpovědět Citovat Ďakujem veľmi pekne za informáciu, pomohlo !!! Vyriešil som to takto. Na stránke `https://www.srihash.org/` je možnosť vygenerovať si podľa zvoleného hash celý link, vrátene hash ( v tomto prípade SHA-384) , teda generátor na spomenutej stránke mi z vloženej linky https://cdnjs.cloudflare.com/ajax/libs/font-awesome/5.13.0/css/all.min.css vygeneruje link vrátane hash, ktorý potom uložím do html kódu a tento mi zabezpečí spustenie očakávaného kódu <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/5.13.0/css/all.min.css" integrity="sha384-Bfad6CLCknfcloXFOyFnlgtENryhrpZCe29RTifKEixXQZ38WheV+i/6YWSzkz3V" crossorigin="anonymous">
	blaaablaaa Profil	#5 · Zasláno: 25. 11. 2021, 11:25:24 Odpovědět Citovat Bubák: "Neví někdo, zda se kešují https soubory pro použití napříč doménami. Já si myslím, že ne, ale vůbec si tím nejsem jistý." Už ne, ani http, šlo takhle relativně spolehlivě trackovat navštívené stránky uživatele.
		Časová prodleva: 1 měsíc
	Najs Profil *	#6 · Zasláno: 4. 1. 2022, 20:31:51 Odpovědět Citovat blaaablaaa: Jasně že se kešují, jinak by CDN nedávalo logiku: CDNs can offer a performance benefit by hosting jQuery on servers spread across the globe. This also offers an advantage that if the visitor to your webpage has already downloaded a copy of jQuery from the same CDN, it won't have to be re-downloaded.
	tttttttttttt Profil *	#7 · Zasláno: 4. 1. 2022, 21:41:52 Odpovědět Citovat Najs: CDN z velké části ztratilo význam. Přibližně před rokem prohlížeče začaly cachovat pro jednotlivé domény zvlášť, zadedly tzv. Cache Partitioning. Je o tom spoustu článků, viz třeba www.peakhour.io/blog/cache-partitioning-firefox-chrome nebo www.jefftk.com/p/shared-cache-is-going-away
		Časová prodleva: 2 roky

Vaše odpověď

Mohlo by se hodit