SRI散列的最佳大小是多少?
SRI(Subresource Integrity)散列是一种安全特性,用于确保网页上加载的外部资源(如脚本、样式表或字体文件)未被篡改。SRI通过在HTML标签中包含一个散列值来实现这一点,浏览器在加载资源时会计算资源的散列值并与提供的散列值进行比较,如果不匹配则不会加载该资源。
SRI散列的最佳大小
SRI散列的大小取决于所使用的散列算法。常见的散列算法包括SHA-256、SHA-384和SHA-512。以下是这些算法的散列大小:
- SHA-256:256位(32字节)
- SHA-384:384位(48字节)
- SHA-512:512位(64字节)
优势
- 安全性:SRI散列可以有效防止第三方篡改网页资源,提高网站的安全性。
- 完整性验证:通过散列值的比较,确保加载的资源未被修改。
- 灵活性:可以应用于各种外部资源,如JavaScript文件、CSS文件、字体文件等。
类型
SRI散列主要有以下几种类型:
- SHA-256:适用于大多数情况,提供较高的安全性和性能。
- SHA-384:提供更高的安全性,适用于对安全性要求较高的场景。
- SHA-512:提供最高级别的安全性,适用于对安全性要求极高的场景。
应用场景
SRI散列广泛应用于需要确保资源完整性的场景,例如:
- 内容分发网络(CDN):确保从CDN加载的资源未被篡改。
- 第三方库:确保加载的第三方JavaScript库或CSS文件未被修改。
- 字体文件:确保加载的字体文件未被篡改,防止字体攻击。
常见问题及解决方法
为什么SRI散列会失败?
- 资源被篡改:如果资源在传输过程中被篡改,散列值将不匹配。
- 散列算法不匹配:使用的散列算法与生成散列值时使用的算法不一致。
- 资源路径错误:资源路径不正确,导致加载的资源与预期不符。
如何解决这些问题?
- 确保资源未被篡改:使用可靠的CDN或服务器,确保资源在传输过程中未被篡改。
- 使用一致的散列算法:确保生成散列值时使用的算法与HTML标签中指定的算法一致。
- 检查资源路径:确保资源路径正确,避免加载错误的资源。
示例代码
以下是一个使用SHA-256算法的SRI散列示例:
<script src="https://example.com/example-framework.js"
integrity="sha256-1234567890abcdef1234567890abcdef1234567890abcdef1234567890abcdef"
crossorigin="anonymous"></script>在这个示例中,integrity属性包含了资源的SHA-256散列值。
参考链接
通过以上信息,您可以更好地理解SRI散列的最佳大小、优势、类型、应用场景以及常见问题的解决方法。
相关·内容
1回答
我最近发现了以下几点漂亮的小网站用于为外部加载的资源生成SubResource完整性(SRI)标记。散列的用途,我知道它们可以使用不同的散列大小(256位、384位或512位),但我以前从未见过这三种散列同时使用。深入研究MDN文档,我发现 完整性值可以包含由空格分隔的多个哈希。如果资源与这些散列之一匹配,则会加载该资源。 但
浏览 33提问于2018-08-31得票数 8
回答已采纳
0回答
SRI散列不是预期的
、、、
我试图在我们的构建过程中实现子资源完整性,所以我自己生成我们的javascript文件的散列键。在我们的大多数文件中,我生成的散列与浏览器期望的内容和srihash.org输出的内容相匹配。但是,对于jquery和jquery-ui,我生成的散列与浏览器预期的和srihash.org输出的散<
浏览 14提问于2016-07-13得票数 4
我使用以下CSP规则:我知道,如果我从CDN加载样式和脚本,如果不包括它们的散列,它就会被阻塞但是,如果我从我自己的领域提供我的脚本和风格,它是否仍然可以访问?example.com/:1 Refused to load the stylesheet 'https://example.com/assets/css
浏览 0提问于2017-02-19得票数 1
回答已采纳
这是一个组合学问题,需要散列算法中的一些理论。假设输入可以是任意大小为30 kB到5MB的随机字节序列(我猜这使得输入值有相当多的组合:)
从字节序列计算出的MD5散列的前4个字节(或前n个字节)对于不同的文件来说相同的概率是多少?如果不能专门为MD5散列计算这一点,那么生成均匀分布的m字节散列</em
浏览 0提问于2009-11-13得票数 9
回答已采纳
3回答
我将使用MD5散列来存储加密的密码。密码长度可以为6到40个字符。存储加密密码所需的数据库列大小是多少。另外,如果40个字符的散列长度非常大,那么20个字符的密码需要多大的散列长度?我正在使用FormsAuthentication.HashPasswordForStoringInConfigFile(stringToEncrypt, "
浏览 0提问于2011-08-09得票数 9
回答已采纳
我正在尝试实现SubResource完整性的网页。我有一个内联javascript,它是根据某些变量动态构造的, https://example.com/<DYNAMIC_VALUE>.js 对于指定为URL一部分的每个动态值,将呈现文件的单独内容。由于完整性散列是基于内容计算的,因此确实不可能预先计算脚本标记的散列(因为DYNAMIC_VALUE可以是1001、1002、.
浏览 17提问于2021-04-04得票数 0
3回答
我想知道图像的大小应该是多少,才能将其用作哈希集/字典键。我也在考虑使用散列函数来达到这个目的,但是我害怕散列冲突。我需要存储大约百万张图片。
浏览 0提问于2012-12-17得票数 1
回答已采纳
2回答
我有时听说,特别是在信息检索,搜索引擎,爬虫等上下文中,我们可以通过散列页面的内容来检测重复页面。什么样的散列函数能够散列整个网页(至少有两个寻呼机),从而使两个副本具有相同的散列输出值?典型的散列输出值的大小是多少?谢谢,
浏览 0提问于2011-04-30得票数 5
回答已采纳
我想知道与HashMap相比,java ArrayList的内存开销是多少?我想提高搜索一大包(6 Millions+)相同对象的特定值的速度。但是我想知道HashMap的开销是多少。但是使用了什么哈希函数呢?是还是另一个?
浏览 26提问于2009-10-06得票数 35
回答已采纳
我试图将我的限制在我使用的一个映像上,它恰好被编码为我们的css中的一个数据URL。.');img-src sha512-SHA_OF_DATA_URL_ABOVE> echo -n &quo
浏览 0提问于2020-10-26得票数 1
回答已采纳
1回答
这个简单的Python脚本验证长度为1的所有消息是否都有不同的SHA-1散列:s = set() s.add(hashlib.sha1(chr(i)).hexdigest())是否知道哪些消息大小是加密散列函数,如SHA-1、SHA-2或MD5内射函数?换句话说,(对于每个散列函数):
有相同哈希的<
浏览 0提问于2015-03-31得票数 1
2回答
我对设置一个好的和有效的散列数组大小感到困惑。我正在读的这本书说,负载因子应该在75%左右,才能成为一个好的散列数组。但我不知道如何在理论上决定数组的大小,在我实际尝试测试散列数组之前,将键放入。在达到最佳散列数组大小方面有什么线索或关键提示吗?大小取决于您用于散</
浏览 0提问于2013-05-25得票数 0
目前,我的捆绑包使用的是通用库的本地副本。bootstrap-datetimepicker.min.js",
"~/Scripts/respond.js")); 我希望转换为使用CDN,并希望通过包含散列值来确保我正在接收SRI。我找到了很多关于在捆绑包配置中使用CDN的文章,但没有关于如何在捆绑包中包含SRI散列和cros
浏览 29提问于2021-04-21得票数 1
1回答
我目前正在为一些后端系统构建缓存系统,这意味着我需要某种哈希表来表示缓存的实体。在这种情况下,我想知道是否有人知道任何测试显示了不同的算法和引发冲突所需的最小ASCII字符串长度?即。使用一系列函数进行散列的安全长度(ASCII字符)是多少?先谢谢你,尼克
浏览 0提问于2011-04-11得票数 2
回答已采纳
2回答
我想知道当负载因子超过阈值时,Java HashMap调整大小的时间复杂度是多少?据我所知,对于HashMap来说,表的大小总是2的偶数的幂,所以每当我们调整表的大小时,我们不需要重新散列所有的键(如果我错了,请纠正我),我们所需要做的就是分配额外的空间,并复制旧表中的所有条目(我不太确定JVM内部是如何处理的),对吗?而对于H
浏览 0提问于2013-01-10得票数 7
4回答
我正在创建我自己的实现,以便为教育目的散列一个表。我目前是哈希数组大小的两倍。克服这一问题的最佳办法是什么?是否有更好的方法来增加哈希表的大小?改变我的散</e
浏览 0提问于2014-03-16得票数 14
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
