bootstrapのサイトを見ているときに以下のような記述がありました。
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/css/bootstrap.min.css" integrity="sha512-dTfge/zgoMYpP7QbHy4gWMEGsbsdZeCXz7irItjcC3sPUFtf0kuFbDz/ixG7ArTxmDjLXDmezHubeNikyKGVyQ==" crossorigin="anonymous">このanonymous属性ってなんだろうなーっと思ってぐぐったら、以下のようなことらしい。
確かにhttpsリクエストの場合、証明書の確認とか必要だもんなー。ちなみにscriptタグに付与しているcrossorigin属性は「anonymous」キーワードが指定された場合、
via:Subresource Integrityについて調べた
リクエストにはcookieやクライアントサイドのSSL証明書、HTTP認証などのユーザ認証情報は利用されなくなるらしい。
もし、コードが改変され整合性が確認できない場合は
それをチェックしなくていいのは便利だが、同時にやはりintegrity属性も付与したほうがいいかもしれない。
0 コメント:
コメントを投稿