Как использовать SRI для ресурсов, включенных в файл .css
, включенный в CDN.Целостность Subresource для шрифтов, включенных в CSS, через CDN (например, font-awesome)
Например, если включить это в HTML:
<link href="https://maxcdn.bootstrapcdn.com/font-awesome/4.7.0/css/font-awesome.min.css" rel="stylesheet" integrity="sha384-wvfXpqpZZVQGK6TAh5PVlGOfQNHSoD2xbE+QkPxCAFlNEevoEH3Sl0sibVcOQVnN" crossorigin="anonymous">
Это будет загружать шрифты через CSS, такие как url('../fonts/fontawesome-webfont.woff2?v=4.7.0')
Конечно, эти шрифты могут быть подделаны, чтобы воспользоваться некоторые неописуемые эксплойты браузера, поэтому имеет смысл заставить хэш-проверку и в них.
Как сообщить браузеру о выполнении SRI-хэша файлов fontawesome-webfont.*
, загружаемых через .css
?
Примечание: Похоже, что хэши субаресурсов not yet supported, хотя я не уверен, что это последнее.