CSP: require-sri-for

廃止
この機能は廃止されました。まだいくつかのブラウザーで動作するかもしれませんが、いつ削除されてもおかしくないので、使わないようにしましょう。

HTTPContent-Security-Policy における require-sri-for ディレクティブは、クライアントにページ上でスクリプトやスタイルのサブリソース完全性を要求することを支持します。

構文

Content-Security-Policy: require-sri-for script;
Content-Security-Policy: require-sri-for style;
Content-Security-Policy: require-sri-for script style;
script
SRI をスクリプトに要求します。
style
SRI をスタイルシートに要求します。
script style
SRI をスクリプトとスタイルシートの両方に要求します。

このディレクティブを使ってスクリプトやスタイルに SRI を要求するようにサイトを設定している場合の設定です。

Content-Security-Policy: require-sri-for script style

以下のような <script> 要素は正しい integrity 属性を使用している場合に限り、読み込まれます。

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"
        integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA="
        crossorigin="anonymous"></script>

しかし、 integrity のないスクリプトは読み込まれなくなります。

<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>

ブラウザーの互換性

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeAndroid 版 FirefoxAndroid 版 OperaiOSのSafariSamsung Internet
require-sri-for
実験的非推奨非標準
Chrome 完全対応 54Edge 完全対応 79Firefox 未対応 49 — 68
無効
未対応 49 — 68
無効
無効 From version 49 until version 68 (exclusive): this feature is behind the security.csp.experimentalEnabled preference (needs to be set to true). To change preferences in Firefox, visit about:config.
IE 未対応 なしOpera 完全対応 41Safari 未対応 なしWebView Android 完全対応 54Chrome Android 完全対応 54Firefox Android 未対応 49 — 68
無効
未対応 49 — 68
無効
無効 From version 49 until version 68 (exclusive): this feature is behind the security.csp.experimentalEnabled preference (needs to be set to true). To change preferences in Firefox, visit about:config.
Opera Android 完全対応 41Safari iOS 未対応 なしSamsung Internet Android 完全対応 6.0

凡例

完全対応  
完全対応
未対応  
未対応
実験的。動作が変更される可能性があります。
実験的。動作が変更される可能性があります。
非標準。ブラウザー間の互換性が低い可能性があります。
非標準。ブラウザー間の互換性が低い可能性があります。
非推奨。新しいウェブサイトでは使用しないでください。
非推奨。新しいウェブサイトでは使用しないでください。
ユーザーが明示的にこの機能を有効にしなければなりません。
ユーザーが明示的にこの機能を有効にしなければなりません。

関連情報