Vérifier l'intégrité de CDN JavaScript

Question

Les CDN accélèrent le chargement de sites Web en permettant la mise en cache des bibliothèques JavaScript fréquemment utilisées comme JQuery. Comment savons-nous s'ils ont modifié le JavaScript avant de le servir à mes clients?

Par exemple. J'ai comparé le hachage de jquery.js et vérifié qu'il correspond au hachage sur le site officiel. J'insère ensuite le lien sur ma page Web. 2 semaines plus tard, le CDN le remplace avec une copie malveillante avec un keylogger intégré. Lorsqu'un client visite ma page Web, le script malveillant est téléchargé et enregistre toutes les entrées et la publie à leur serveur.

Puis-je utiliser une bibliothèque comme Crypto.js pour vérifier la checksum MD5 d'un script avant d'exécuter? Cela doit être fait en JavaScript depuis que l'exploit fonctionne du côté du client.

Ben Richard · Accepted Answer

C'est ce que vous recherchez - Intégrité de la sous-formation:

http://w3c.github.io/webappsec/specs/subresourceintegrity/

Résumé: http://qnimate.com/how-to-make-Browsers-verify-fetched-Resources-Content/

L'intégrité de la sous-séduction n'est prise en charge que par les derniers navigateurs.