Есть ли какая-либо реализация или спецификация для включения хэша или подписи в атрибуте тега <script> , чтобы браузер мог убедиться, что правильный файл был извлечен до его выполнения? Что-то вроде:
<script
src="http://cdn.example.com/jquery-2001.js"
signature="sha-256/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
></script>
Мотивация такова: в общем, каждый дополнительный CDN или хост, который вы используете для своего сайта, увеличивает вашу уязвимость, добавляя новую цель, которую можно взломать, чтобы поставить под угрозу свой сайт. Предоставление вашим основным интерфейсным серверам утверждений хэшей или подписи этих файлов может полностью устранить этот риск, что позволит вам быть более гибкими при проектировании вашей архитектуры. Вы даже можете запросить отсутствующие файлы из ненадежной одноранговой сети.
Я думал, что вспомнил спецификацию об этом, но не смог его найти.