অখণ্ডতা এবং ক্রসরিগিন বৈশিষ্ট্যগুলি কী কী?

362

বুটস্ট্র্যাপসিডিএন সম্প্রতি তাদের লিঙ্কগুলি পরিবর্তন করেছে। এটি এখন এটির মতো দেখাচ্ছে:

<link href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/css/bootstrap.min.css" 
rel="stylesheet" 
integrity="sha256-MfvZlkHCEqatNoGiOXveE8FIwMzZg4W85qfrfIFBfYc= sha512-dTfge/zgoMYpP7QbHy4gWMEGsbsdZeCXz7irItjcC3sPUFtf0kuFbDz/ixG7ArTxmDjLXDmezHubeNikyKGVyQ==" 
crossorigin="anonymous">

কী করতে integrityএবং crossoriginগড় বৈশিষ্ট্যাবলী? তারা কীভাবে স্টাইলশীট লোডকে প্রভাবিত করে?

html  cross-domain  cors  subresource-integrity 
নতুন ব্যবহারকারী
সূত্র

উত্তর:

237

সাব্রোসোর্স ইন্টিগ্রিটি প্রয়োগ করতে বুটস্ট্র্যাপ সিডিএন এ দুটি বৈশিষ্ট্যই যুক্ত করা হয়েছে ।

সাবসোর্স ইন্টিগ্রিটি এমন একটি প্রক্রিয়া সংজ্ঞায়িত করে যার দ্বারা ব্যবহারকারী এজেন্টরা যাচাই করতে পারে যে কোনও আনীত সংস্থান অপ্রত্যাশিত ম্যানিপুলেশন রেফারেন্স ছাড়াই বিতরণ করা হয়েছে

সত্যতা বৈশিষ্ট্যটি হ'ল উত্সটি যদি ম্যানিপুলেটেড করা হয় তবে কোডটি কখনই লোড হয় না তা নিশ্চিত করার জন্য ব্রাউজারটিকে ফাইল উত্স পরীক্ষা করার অনুমতি দেওয়া হয়।

ক্রসিরিগিন অ্যাট্রিবিউট উপস্থিত থাকে যখন 'সিওআরএস' ব্যবহার করে একটি অনুরোধ লোড করা হয় যা এখন 'সম-উত্স' থেকে লোড না হয়ে এসআরআই পরীক্ষার প্রয়োজন। ক্রসরিগিন সম্পর্কিত আরও তথ্য

বুটস্ট্র্যাপ সিডিএন বাস্তবায়ন সম্পর্কে আরও বিশদ

jim.taylor.1974
সূত্র
2
সবেমাত্র ডব্লিউ 3 সি এইচটিএমএল যাচাইকারী ব্যবহার করেছেন এবং "সততা" বৈশিষ্ট্যটি ব্যবহার করার সময় এই বার্তাটি পেয়েছেন:Attribute integrity not allowed on element link at this point.
টমাস গঞ্জালেজ
9
@ টমাস গনজালেজ আমি মনে করি আপনি নিরাপদে ধরে নিতে পারেন যে
ডাব্লু
5
: অবগতির জন্য: যাচাইকারী সাথে একটি বাগ খুব দায়ের github.com/validator/validator/issues/151
jonathanKingston
72
ডাব্লু 3 সি এইচটিএমএল পরীক্ষক (ওরফে ভ্যালিডিটার) এর রক্ষণাবেক্ষণকারী। হ্যাঁ, দুঃখিত, চেকারটি integrityগুণটি সম্পর্কে এখনও কিছু জানেন না । তবে আমি গিথুব / ভলিউডেটর / লায়েডিয়েটার / বিবিধ / ১৫১১ এর অনুরোধ অনুসারে শীঘ্রই এর জন্য সমর্থন যুক্ত করব । সুতরাং আপনি যখন অবতরণ করবেন তখন কোনও বিজ্ঞপ্তি পেতে আপনি এই বিষয়ে সাবস্ক্রাইব করতে চাইতে পারেন।
sideshowbarker
7
অনলাইনওয়েব চেক.কমintegrity এট্রিবিউটটিকে সমর্থন করে (আমি সেই পরীক্ষকের রক্ষণাবেক্ষণকারী)।
অ্যালবার্ট ওয়েয়ার্সচ
112

অখণ্ডতা - এমন কোনও সংস্থার হ্যাশ মান নির্ধারণ করে (চেকসামের মতো) যা ব্রাউজারটিকে সম্পাদন করতে মেলানো উচিত। হ্যাশটি নিশ্চিত করে যে ফাইলটি সংশোধিত ছিল না এবং এতে প্রত্যাশিত ডেটা রয়েছে। এইভাবে ব্রাউজারটি বিভিন্ন (যেমন দূষিত) সংস্থানগুলি লোড করবে না। এমন একটি পরিস্থিতি কল্পনা করুন যাতে আপনার জাভাস্ক্রিপ্ট ফাইলগুলি সিডিএন-এ হ্যাক হয়েছিল এবং এটি জানার কোনও উপায় নেই। অখণ্ডতা বৈশিষ্ট্যটি মেলে না এমন সামগ্রী লোড করতে বাধা দেয়।

ক্রস-অরিজিন নির্বিশেষে অবৈধ এসআরআই অবরুদ্ধ করা হবে (ক্রোম বিকাশকারী-সরঞ্জামসমূহ)। নন-সিওআরএসের নীচের ক্ষেত্রে যখন সততার বৈশিষ্ট্য মেলে না:

এখানে চিত্র বর্ণনা লিখুন

নিখরচায়তা গণনা করা যেতে পারে : https://www.srihash.org/ বা কনসোল ( লিঙ্ক ) এ টাইপ করে :

openssl dgst -sha384 -binary FILENAME.js | openssl base64 -A

ক্রসরিগিন - যখন উত্সটি অন্য কোনও উত্সের কোনও সার্ভার থেকে লোড করা হয় তখন ব্যবহৃত বিকল্পগুলি সংজ্ঞায়িত করে। (এখানে সিওআরএস (ক্রস-অরিজিন রিসোর্স ভাগ করে নেওয়া) দেখুন: https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS )। এটি কার্যকরভাবে ব্রাউজার দ্বারা প্রেরিত HTTP অনুরোধগুলি পরিবর্তন করে। যদি "ক্রসরিগিন" বৈশিষ্ট্যটি যুক্ত করা হয় - এটির ফলে উত্স যুক্ত হবে : নীচে দেখানো হয়েছে এমনভাবে <ORIGIN> কী-মান জুটি এইচটিটিপি অনুরোধে যুক্ত করবে।

এখানে চিত্র বর্ণনা লিখুন

ক্রসরিগিনকে "বেনামে" বা "ব্যবহারের শংসাপত্রগুলি" এ সেট করা যেতে পারে। উভয়ই উত্স যুক্ত করার অনুরোধ করবে: অনুরোধে। পরেরটি অবশ্য নিশ্চিত করবে যে শংসাপত্রগুলি পরীক্ষা করা হয়েছে। ট্যাগে কোনও ক্রসরিগিন অ্যাট্রিবিউট ফলাফল ছাড়াই একটি অনুরোধ প্রেরণে ফল দেয় না: কী-মান জুটি।

সিডিএন থেকে "ব্যবহারের শংসাপত্রগুলি" অনুরোধ করার সময় এখানে একটি কেস দেওয়া হয়েছে:

<script 
        src="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-alpha.6/js/bootstrap.min.js"
        integrity="sha384-vBWWzlZJ8ea9aCX4pEW3rVHjgjt7zpkNpZk+02D9phzyeVkE+jo0ieGizqPLForn" 
        crossorigin="use-credentials"></script>

ক্রসরিগিন ভুলভাবে সেট করা থাকলে একটি ব্রাউজার অনুরোধটি বাতিল করতে পারে।

এখানে চিত্র বর্ণনা লিখুন

লিঙ্কস
- https://www.w3.org/TR/cors/
- https://tools.ietf.org/html/rfc6454
- https://developer.mozilla.org/en-US/docs/Web/HTML / উপাদান / লিঙ্কটি

ব্লগ
- https://frederik-braun.com/using-subresource-integrity.html
- https://web-security.guru/en/web-security/subresource-integrity

উইটোল্ড কাকজুরবা
সূত্র
6
খুব দরকারী উত্তর!
এমিয়েল কোনিং
4
আপনার উত্তরের জন্য ধন্যবাদ. আমি প্রযুক্তিগত বিবরণ পছন্দ!
আনহ ট্রান
ফাইলটির অখণ্ডতা যদি এখনও ম্যানিপুলেটেড হয় না তবে আমরা কীভাবে বলতে পারি? কোন পরামর্শ?
ভাদি তাসলিম
@ ইয়োন.ফুন: আপনার নিজের লিঙ্কগুলি যুক্ত করতে সম্পাদনাগুলি প্রস্তাব করবেন না। আপনার সামগ্রী মূল্যবান হলেও আমরা এখানে সম্ভাব্য স্প্যামের প্রতি বেশ সংবেদনশীল।
অর্ধ
1

প্রযুক্তিগতভাবে, নিখরচায় গুণাবলী এটির সাথে সহায়তা করে - এটি ডেটা উত্সটির যথাযথ যাচাইকরণ সক্ষম করে। এটি হ'ল এটি ব্রাউজারকে কেবল সিডিএন সার্ভারে অবস্থিত উত্স ফাইল দ্বারা অনুরোধ করা পরিমাণগুলির সাথে সঠিক উত্স ফাইলে নম্বরগুলি যাচাই করার অনুমতি দেয়।

কিছুটা গভীরতর দিকে যেতে, এই উত্সটির প্রতিষ্ঠিত এনক্রিপ্টড হ্যাশ মান এবং ব্রাউজারে একটি পূর্বনির্ধারিত মানের সাথে এটির পরীক্ষিত সম্মতির ক্ষেত্রে - কোডটি কার্যকর করে এবং ব্যবহারকারীর অনুরোধটি সফলভাবে প্রক্রিয়াজাত হয়।

ক্রসরিগিন অ্যাট্রিবিউট বিকাশকারীদের একই সাথে ওয়েবসাইট কোডটিকে দূষিত স্ক্রিপ্টগুলি থেকে রক্ষা করে সিডিএন কার্য সম্পাদনের হারকে অনুকূল করতে সহায়তা করে।

বিশেষত, ক্রসরিগিন কুকিগুলি ডাউনলোড না করে বা প্রমাণীকরণ প্রক্রিয়া সম্পাদন না করে বেনামে মোডে সাইটের প্রোগ্রাম কোডটি ডাউনলোড করে। আপনি যখন কোনও নির্দিষ্ট সিডিএন সার্ভারে প্রথমে সাইটটি লোড করবেন তখন এটি ব্যবহারকারীর ডেটা ফাঁস রোধ করে, যা নেটওয়ার্ক প্রতারকরা সহজেই ঠিকানাগুলি প্রতিস্থাপন করতে পারে।

সূত্র: https://yon.fun/ কি- is- link- integrity- and- crossorigin/

yon.fun
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.