SRISubresource Integrity
SRI (Subresource Integrity) は、外部 CDN から読み込むスクリプトやスタイルのハッシュ値を integrity 属性で検証し、改ざんを検知するW3C仕様です。
詳細解説
SRI は、HTML の script / link タグに integrity="sha384-..." 属性を付け、外部CDNから読み込むリソースのハッシュ値をブラウザが検証する仕組みです。CDN が侵害されてJSライブラリが改ざんされても、ハッシュ不一致でブラウザが実行を拒否します。書式は「integrity="sha384-Base64ハッシュ" crossorigin="anonymous"」で、SHA-256/384/512 をサポートします。crossorigin 属性は CORS と組み合わせて検証を有効化するために必要です。CSP の require-sri-for ディレクティブでサイト全体で SRI を強制することも可能です (廃止予定との議論あり)。MagecartのようなサプライチェーンSkimming攻撃の対策として効果的で、PCI DSS 4.0 でも要件 6.4.3 / 11.6.1 で言及されています。
実装例 / 使い方
- 01<script src="https://cdn.jsdelivr.net/.../jquery.min.js" integrity="sha384-..." crossorigin="anonymous"></script>
- 02PCI DSS 4.0 の決済ページで SRI を必須化
- 03openssl dgst -sha384 -binary | openssl base64 -A でハッシュ生成
参考・出典
関連する用語
CSP
Content Security PolicyCSP (Content Security Policy) は、ブラウザに読み込み許可するスクリプト・スタイル・画像等の出所をホワイトリストで指定するセキュリテ...
HTTPS
HTTP Secure / HTTP over TLSHTTPS は HTTP 通信を TLS (Transport Layer Security) で暗号化したプロトコルで、盗聴・改ざん・なりすましを防ぎます。R...
XSS
Cross-Site ScriptingXSS (Cross-Site Scripting) は、悪意あるスクリプトをWebページに埋め込み他ユーザーのブラウザで実行させる攻撃で、Reflected・...
OWASP Top 10
Open Web Application Security Project Top 10OWASP Top 10 は、Webアプリケーションの最重要セキュリティリスクを4年ごとに集計するOWASPの代表的ドキュメントで、業界標準のチェックリストとし...
SRIを、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信