유효하지 않은 서브 리소스 무결성 값이 감지됨

설명

JavaScript 또는 CSS 소스 파일에서 유효하지 않은 서브 리소스 무결성(Sub-Resource Integrity, SRI) integrity 값 또는 누락된 crossorigin 값이 발견되었습니다. 이러한 스크립트나 링크는 악의적으로 변경되지 않았는지 확인하기 위해 조사해야 합니다. 의심스러운 경우, 스크립트 소유자에게 문의하거나 신뢰할 수 있는 버전으로 교체하세요.

수정 방법

모든 식별된 리소스는 대상 애플리케이션과 동일한 도메인에서 공급되어야 합니다. 이를 수행할 수 없는 경우, src 값을 구현하는 모든 script 태그나 href 값을 구현하는 link 태그에 서브 리소스 무결성을 포함하는 것이 강력히 권장됩니다. SRI 무결성 값을 생성하기 위해서는 SRI 해시 도구를 사용하거나 다음 명령어 중 하나를 실행할 수 있습니다:

  • cat FILENAME.js | openssl dgst -sha384 -binary | openssl base64 -A
  • shasum -b -a 384 FILENAME.js | awk '{ print $1 }' | xxd -r -p | base64

이 도구의 출력은 추가 속성으로 추가해야 하며, 특히: integritycrossorigin=anonymous 또는 crossorigin=use-credentials이어야 합니다. 유효한 SRI 보호 스크립트 태그의 예는 아래에서 확인할 수 있습니다:

<script src="https://example.com/example-framework.js"
    integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
    crossorigin="anonymous"></script>

세부정보

ID Aggregated CWE Type Risk
829.2 true 829 Passive Medium

링크