subresource-integrity/subresource-integrity.com
GitHub: subresource-integrity/subresource-integrity.com
一份覆盖子资源完整性(SRI)核心原理、构建工具集成、供应链审计与运行时策略执行的免费综合技术参考指南,帮助工程团队系统性地加固 Web 供应链安全。
Stars: 0 | Forks: 0
# 子资源完整性与供应链强化
**一份全面、免费的技术参考指南,旨在保护现代 Web 供应链的安全 — [subresource-integrity.com](https://www.subresource-integrity.com)**
每一个 CDN 托管的库、每一个 npm 包、以及每一个第三方组件都是潜在的注入向量。仅仅一个被入侵的 CDN 边缘节点或维护者账户,就可以悄无声息地为数百万个网站植入后门。本站旨在为工程师提供一份详尽的参考,准确指导他们如何关闭这扇风险之门 —— 从配置单一的 `integrity` 哈希值,到构建完整的纵深防御策略栈。
👉 **在线阅读:[www.subresource-integrity.com](https://www.subresource-integrity.com)**
## 为什么会有这个项目
大多数 SRI 文档仅仅停留在“添加一个 `integrity` 属性”。然而,真实的生产环境系统需要的远不止于此:跨构建工具的确定性哈希、CDN 信任映射、依赖来源证明,以及在 SRI 之上构建的浏览器端策略执行。本站涵盖了**完整的技术栈**,每一页都提供了可直接复制粘贴的生产级示例和验证步骤。
## 涵盖内容
- **SRI 核心基础** — SHA-256 vs SHA-384 vs SHA-512、浏览器强制执行机制、CORS 和不透明响应的边缘情况、Content Security Policy 集成、样式表和 Web 字体完整性,以及优雅降级的回退策略。
- **资源哈希与动态脚本注入** — 在 Webpack 5 和 Vite 中自动生成哈希、CDN 信任映射 (jsDelivr, unpkg)、ES module 和 import-map 完整性,以及在运行时注入脚本时保持完整性检查不被破坏。
- **供应链审计与依赖验证** — lockfile 分析、CycloneDX SBOM 生成、Sigstore 来源验证、依赖版本固定 (pinning)、持续监控、第三方风险评分,以及与 PCI DSS 对应的漏洞分类处理。
- **运行时策略执行与 Trusted Types** — CSP nonce 和基于哈希的策略、用于防御 DOM-XSS 的 Trusted Types、将 SRI + CSP + Trusted Types 协同整合为纵深防御体系,以及通过 Reporting API 实现违规遥测。
每一页都配有手工绘制的图表、结构化数据、包含修复方案的真实错误特征,以及合规性映射 (PCI DSS v4.0.1, SOC 2, ISO 27001, NIST)。
## 目标读者
前端与后端工程师、安全工程师、DevOps/平台团队,以及需要关于完整性和供应链控制的权威且可直接落地的实施指南的合规负责人。
## 技术构建
- [Eleventy (11ty)](https://www.11ty.dev/) — 静态网站生成器
- 手工编写、支持主题感知的内联 SVG 图表(无运行时图表库)
- 渐进式增强 — 即使没有 JavaScript,网站也具有完全的可读性和可导航性
- 部署于 Cloudflare Pages
## 本地开发
```
npm install
npm run build # build the static site into _site/
npm start # serve locally with live reload
```
## 许可与使用
本内容作为免费的教育参考资料提供。在引用大段内容时,请链接回 [subresource-integrity.com](https://www.subresource-integrity.com)。
由 [**@subresource-integrity**](https://github.com/subresource-integrity/) 维护 · [www.subresource-integrity.com](https://www.subresource-integrity.com)
标签:LLM防护, SRI, Web安全, 内容安全策略, 前端工程化, 技术文档, 暗色界面, 漏洞审计, 蓝队分析, 规则仓库