Según Mozilla :
La directiva HTTP Content-Security-Policy
require-sri-for
le indica al cliente que requiera el uso de Subresource Integrity para los scripts o estilos en la página.
No veo el beneficio. El SCP está diseñado para protegerme de alguien que inyecte scripts en mi página. Si un atacante puede inyectar una etiqueta de script, ¿no podría ella también inyectar un atributo de integridad apropiado?
¿Qué ataque es posible sin esta directiva, pero falla con ella?