• 설명
• 복구
• 세부 정보
• 링크

감지된 부적합한 서브 리소스 무결성 값

설명

JavaScript 또는 CSS 소스 파일에서 무효한 Sub-Resource Integrity (SRI) integrity 값을 발견하거나 누락된 crossorigin 값을 가지고 있는 것으로 확인되었습니다. 이러한 스크립트 또는 링크는 악의적으로 변경되지 않았는지 조사해야 합니다. 의심스러운 경우 스크립트 소유자에게 문의하거나 알려진 좋은 버전으로 대체해야 합니다.

복구

식별된 모든 리소스는 대상 애플리케이션과 동일한 도메인에서 가져와야 합니다. 이것이 불가능한 경우, src 값을 구현하는 모든 script 태그나 href 값을 구현하는 모든 link 태그에 Sub-Resource Integrity를 포함하는 것이 강력히 권장됩니다. SRI 무결성 값은 SRI hash 도구를 사용하거나 다음 명령 중 하나를 실행하여 생성할 수 있습니다:

• cat FILENAME.js | openssl dgst -sha384 -binary | openssl base64 -A
• shasum -b -a 384 FILENAME.js | awk '{ print $1 }' | xxd -r -p | base64

이러한 도구의 출력은 추가 속성으로 추가되어야 하며, 특히 integrity 및 crossorigin=anonymous 또는 crossorigin=use-credentials 중 하나여야 합니다. 유효한 SRI로 보호된 스크립트 태그의 예는 아래에서 찾을 수 있습니다:

<script src="https://example.com/example-framework.js"
    integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
    crossorigin="anonymous"></script>

세부 정보

링크

• OWASP
• CWE
• MDN