¿Los certificados proporcionan algún beneficio para la integridad del sub-recurso?

Debido a que solo se permiten algoritmos hash fuertes (es decir, sha-256 y mejores) para la integridad de la fuente, uno puede estar bastante seguro de que la carga útil en sí no se vio comprometida. Sin embargo, la carga útil no está cifrada, por lo que cualquier información confidencial contenida en la carga útil puede ser detectada. Esto es menos probable cuando se incluyen recursos públicos y estáticos, pero puede ser el caso si el servidor controla tanto el archivo como el script y el script en sí.

Aparte de esa integridad, el subgrupo solo protege la carga útil de la respuesta. No protege el encabezado de respuesta ni la solicitud contra el rastreo y la manipulación, por lo que un hombre en el atacante central podría al menos obtener las cookies de la solicitud o incluso podría modificar las cookies existentes o inyectar nuevas en la respuesta. La primera podría usarse para rastrear o, dependiendo de la cookie, también el robo de identidad o similar. El último también podría usarse para el seguimiento. Además, algunas aplicaciones web no tratan las cookies como un valor opaco solamente, sino que las utilizan para almacenar datos en ellas. Cambiar una cookie existente o agregar una nueva puede causar confusión o incluso hacer scripts entre sitios, dependiendo de cuánto confíe la aplicación en el valor de la cookie. Y lo último es lo que uno trata de evitar cuando se usa la integridad de los recursos.