autenticidad del código JavaScript cuando se carga desde un sitio web de terceros

2

Background

Una discusión acerca de no buscar archivos JavaScript de otros sitios web ( enlace ) me hizo pensar .

Se mencionan razones de rendimiento y costo que pueden tener sentido tener algunos scripts alojados por terceros.

Pregunta

¿Existe una forma existente de verificar que el JavaScript malintencionado no haya cambiado JavaScript (o quizás incluso imágenes, otros datos)?

Desde lo alto de mi cabeza, diría que puedes hacer eso con websockets para descargar el script y luego verificar su hash, insertarlo en HTML. Tal vez. No recuerdo ninguna solución integrada, como quizás < script src="https://foo/bar.js" hash="$ 5 $ 0xf00 ... $ 0xbaa ..." > < / script > .

    
pregunta domen 01.07.2014 - 10:41
fuente

1 respuesta

1

No hay soluciones integradas. (¡Pero ciertamente debería haberlo!) De hecho, puede descargar los datos usando XMLHttpRequest 2 y luego verificar su hash mediante una implementación de JavaScript SHA-256 antes de hacer algo con el resultado (por ejemplo, evaluándolo, si es un código JavaScript). Esto solo funcionará si el servidor no confiable es compatible con CORS. La memoria caché del navegador del recurso todavía se puede utilizar.

    
respondido por el jbms 01.07.2014 - 20:30
fuente

Lea otras preguntas en las etiquetas