Según Mozilla :
La directiva HTTP Content-Security-Policy
require-sri-forle indica al cliente que requiera el uso de Subresource Integrity para los scripts o estilos en la página.
No veo el beneficio. El SCP está diseñado para protegerme de alguien que inyecte scripts en mi página. Si un atacante puede inyectar una etiqueta de script, ¿no podría ella también inyectar un atributo de integridad apropiado?
¿Qué ataque es posible sin esta directiva, pero falla con ella?
La Política de seguridad de contenido HTTP require-sri-for solo tiene como objetivo proteger contra los desarrolladores que se olvidan de agregar la etiqueta integrity .
Frederik Braun, quien dice ser el autor de la integridad de la subpresión escribió en su blog :
GitHub es uno de los primeros sitios web grandes que utilizan Subresource Integrity y por lo tanto puede defenderse contra redes de distribución de contenido (CDN) potencialmente malas . Lo complicado con SRI es que tiene que incluirlo para cada etiqueta HTML que apunta a un CDN si desea el beneficio de seguridad. Y luego, por supuesto, sucedió que alguien se olvidó de agregar esto y la gente estaba triste.
Lo protege contra inyecciones en los recursos que usted permite. Si tuvieras que permitir algún rastreador o biblioteca de una fuente externa y fueran secuestrados, el CSP no lo impedirá. SRI se asegurará de que si un recurso cambiara, no se cargará. Es por eso que tanto CSP como SRI existen, hacen cosas diferentes.
Lea otras preguntas en las etiquetas http sub-resource-integrity content-security-policy