SRI (Subresource Integrity) — защита от компрометации CDN. В <script src="..." integrity="sha384-..."> атрибут integrity содержит hash ожидаемого содержимого. Если CDN подменит файл (supply-chain атака), hash не совпадёт и браузер не выполнит скрипт. Обязательно для всех внешних CDN-ресурсов.
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
SRI (Subresource Integrity) — защита от компрометации CDN. В <script src="..." integrity="sha384-..."> атрибут integrity содержит hash ожидаемого содержимого. Если CDN подменит файл (supply-chain атака), hash не совпадёт и браузер не выполнит скрипт. Обязательно для всех внешних CDN-ресурсов.
Принцип работы SRI заключается в проверке целостности загружаемых ресурсов с помощью хеш-значений (hash). В атрибуте integrity тега <script src="..." integrity="sha384-..."> указывается хеш ожидаемого содержимого файла. Когда браузер загружает ресурс, он сравнивает указанный хеш с хешем загруженного файла. Если хеши совпадают, ресурс считается достоверным, и браузер выполняет его. В случае подмены файла (supply-chain атака), хеш не совпадёт, и браузер не выполнит скрипт, предотвращая выполнение вредоносного кода.
Этот механизм обеспечивает дополнительный уровень защиты от атак, направленных на подмену файлов на этапе их доставки через CDN. Для реализации SRI необходимо указать соответствующий хеш в атрибуте integrity и убедиться, что все внешние CDN-ресурсы используют этот атрибут.
Примеры использования SRI включают защиту внешних скриптов, стилей и других ресурсов, загружаемых с помощью тегов <script>, <link> и других. Например, для защиты внешнего скрипта можно использовать следующий код:
<script src="https://example.com/script.js" integrity="sha384-XXXXXX"></script> Здесь src указывает на URL скрипта, а integrity содержит хеш ожидаемого содержимого. Аналогично можно защитить стили и другие ресурсы.
Важно отметить, что SRI может быть использован не только для защиты внешних ресурсов, но и для внутренних, если есть риск их подмены.
Преимущества использования SRI включают:
Однако у SRI есть и недостатки:
Несмотря на некоторые недостатки, SRI является важным инструментом для обеспечения безопасности веб-приложений и защиты от supply-chain атак.
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)См. раздел применения выше. Для быстрой проверки — используйте нашу форму.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.