无效的子资源完整性

medium Web App Scanning 插件 ID 98649

简介

无效的子资源完整性

描述

子资源完整性 (SRI) 是一项 Web 安全标准,可让浏览器验证第三方(例如 CDN)托管的资源在交付时是否没有意外操纵。

SRI 的工作方式是将用于获取资源的资源标签(如脚本或链接)之完整性属性中声明的加密哈希与此资源的计算哈希值进行比较。

已在一个或多个资源中检测到完整性属性哈希和计算得到的哈希之间不匹配。

解决方案

检查是否修改了第三方资源。如果是合法的修改,则请更新完整性属性,如并非合法修改,则请勿继续使用第三方资源。

另见

https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity

https://www.owasp.org/index.php/3rd_Party_Javascript_Management_Cheat_Sheet#Subresource_Integrity

插件详情

严重性: Medium

ID: 98649

类型: remote

发布时间: 2019/8/7

最近更新时间: 2023/7/13

扫描模板: basic, full, overview, pci, scan

风险信息

VPR

风险因素: Low

分数: 2.9

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: Tenable

CVSS v3

风险因素: Medium

基本分数: 4

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:N

CVSS 分数来源: Tenable

CVSS v4

风险因素: Medium

Base Score: 6.3

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: Tenable

漏洞信息

补丁发布日期: 2019/8/1

漏洞发布日期: 2019/8/1

参考资料信息