• 설명
• 문제 해결
• Details
• 링크

감지된 잘못된 하위 리소스 무결성 값

설명

JavaScript나 CSS 소스 파일에 잘못된 하위 리소스 무결성 (SRI) integrity 값이나 누락된 crossorigin 값이 포함되어 있는 것으로 확인되었습니다. 이러한 스크립트나 링크는 악의적으로 변경되지 않았는지 확인해야 합니다. 의심스러울 경우, 스크립트 소유자에게 문의하거나 알려진 좋은 버전으로 교체해야 합니다.

문제 해결

모든 확인된 리소스는 대상 애플리케이션과 동일한 도메인에서 가져와야 합니다. 이것이 불가능한 경우, 모든 script 태그에 src 값이나 link 태그에 href 값을 구현하는 경우, 하위 리소스 무결성을 포함하는 것이 강력히 권장됩니다. SRI 무결성 값을 생성하기 위해서는 SRI hash 도구를 사용하거나 다음 명령어 중 하나를 실행할 수 있습니다:

• cat FILENAME.js | openssl dgst -sha384 -binary | openssl base64 -A
• shasum -b -a 384 FILENAME.js | awk '{ print $1 }' | xxd -r -p | base64

이러한 도구의 출력은 추가 속성으로, 특히 integrity와 crossorigin=anonymous 또는 crossorigin=use-credentials를 추가해야 합니다.

하위 리소스 무결성을 지원하는 유효한 예시가 아래에 나와 있습니다:

<script src="https://example.com/example-framework.js"
    integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
    crossorigin="anonymous"></script>

Details

링크

• OWASP
• CWE
• MDN