¿Cuáles serían los posibles vectores de ataque si un navegador ignorara los certificados al realizar una solicitud de red que se verifique a través de la integridad del sub-recurso ?
Como ejemplo, digamos que tenía la etiqueta de script:
<script src="https://example.com/my-script.js"integrity="..." crossorigin="anonymous">
El navegador realizaría la solicitud de my-script
, pero no se molestaría en verificar el certificado, ya que la validez del script se verifica mediante el atributo de integridad.
La página web que contiene la etiqueta del script aún se verificará a través de certificados, pero el script en sí no lo haría.
¿Hay algún posible vector de ataque en este escenario?