Subresource Integrity
Subresource Integrity (SRI, ou « Intégrité des sous-ressources ») est une fonction de sécurité qui permet aux navigateurs de vérifier que les fichiers qu'ils vont chercher (par exemple, à partir d'un CDN) sont livrés sans manipulation inattendue. Cela fonctionne en permettant de fournir un hachage cryptographique (« hash ») auquel le fichier récupéré doit correspondre.
Comment fonctionne le contrôle d'intégrité des sous-ressources ?
Utiliser un CDN pour héberger des fichiers tels que les scripts et les feuilles de style qui sont partagés entre plusieurs sites permet d'améliorer les performances du site et d'économiser de la bande passante. Cependant, utiliser des CDN comporte un risque : si un attaquant prend le contrôle du CDN, il pourra injecter du contenu malveillant dans les fichiers (ou les remplacer complètement), et il pourra donc aussi potentiellement attaquer tous les sites qui récupèrent les fichiers sur ce CDN.
Le contrôle d'intégrité des sous-ressources vous permet d'atténuer le risque de ce genre d'attaques, en veillant à ce que les fichiers de votre application ou document Web utilisent (à partir d'un CDN ou ailleurs) aient été livrés sans modification d'un tiers ayant injecté du contenu supplémentaire dans les fichiers - et sans autre changement de toute nature ayant été faits à ces fichiers.
Utiliser le SRI
Le contrôle d'intégrité des sous-ressources s'active en spécifiant un hachage cryptographique encodé en base64 d'une ressource (fichier) que vous transmettez au navigateur au moment où il va chercher cette ressource, comme valeur de l'attribut integrity
de chaque élément <script>
ou <link>
.
Une valeur de l'attribut integrity
commence par au moins une chaîne, chaque chaîne comprenant un préfixe indiquant un algorithme particulier de hachage (actuellement les préfixes autorisés sont sha256
, sha384
et sha512
), suivi d'un tiret, et se terminant par le hachage base64 proprement dit.
Note :
Une valeur de l'attribut integrity
peut contenir plusieurs hachages séparés par des espaces. Une ressource sera chargée si elle correspond à l'un de ces hachages.
Voici un exemple de valeur pour l'attribut integrity
avec un hash sha384 encodé en base64 :
sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC
Note : Le « hash » est à proprement parler une fonction de hachage cryptographique formé en appliquant une fonction de hachage particulière à une certaine entrée (par exemple, un script ou un fichier de feuille de styles). Mais il est plus commun d'utiliser le mot hash pour indiquer fonction de hachage cryptographique, d'où son utilisation dans cet article.
Outil pour générer des hachages SRI
Vous pouvez générer des hashes SRI en ligne de commande avec OpenSSL en utilisant une commande de ce genre :
cat FILENAME.js | openssl dgst -sha384 -binary | openssl enc -base64 -A
Il existe également, SRI Hash Generator : https://srihash.org/ qui est un utilitaire en ligne permettant de générer des hashes SRI.
Exemples
Dans les exemples suivants, supposons que oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC
est la valeur attendue du hash SHA-384 d'un script exemple-framework.js
, et qu'il existe une copie de ce script hébergée sur https://exemple.com/exemple-framework.js
.
Exemple : utiliser l'élément script
pour le contrôle d'intégrité
Vous pouvez utiliser l'élément <script>
suivant pour dire au navigateur qu'il doit comparer le hash fourni avec celui du fichier et que les deux correspondent avant d'exécuter le script hébergé à https://example.com/exemple-framework.js
.
<script
src="https://exemple.com/exemple-framework.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
crossorigin="anonymous"></script>
Note :
Pour plus de détails sur l'objectif de l'attribut crossorigin
, voir les attributs CORS.
La gestion du SRI par les navigateurs
Les navigateurs gèrent SRI en effectuant les étapes suivantes :
- Lorsqu'un navigateur rencontre un élément
<script>
ou<link>
avec un attributintegrity
, avant d'exécuter le script ou avant d'appliquer les styles spécifiés par l'élément<link>
, la navigateur doit comparer le script ou la feuille de style à la valeur donnée dans l'attributintegrity
. - Si le script ou la feuille de styles ne correspond pas à la valeur de l'attribut
integrity
qui lui est associée, alors le navigateur doit refuser d'exécuter le script ou d'appliquer la feuille de style et doit retourner une erreur indiquant que le chargement de la ressource a échoué.
Spécifications
Specification |
---|
HTML Standard # attr-link-integrity |
Subresource Integrity # the-integrity-attribute |
HTML Standard # attr-script-integrity |
Compatibilité des navigateurs
html.elements.link.integrity
BCD tables only load in the browser
html.elements.script.integrity
BCD tables only load in the browser