Security
SRI Hash Generator
Der SRI Hash Generator berechnet Subresource Integrity (SRI) Hashes für externe JavaScript- und CSS-Ressourcen gemäß dem W3C-Standard. SRI verhindert, dass manipulierte CDN-Inhalte in Webseiten ausgeführt werden, indem der Browser den Hash der geladenen Datei gegen einen vorher festgelegten Referenzwert prüft. Das Tool generiert den fertigen integrity-Attributwert für <script>- und <link>-Tags.
Was ist Subresource Integrity (SRI)?
Subresource Integrity (SRI) ist ein W3C-Sicherheitsmechanismus, der es ermöglicht, externe Ressourcen (JavaScript, CSS) gegen unerwünschte Manipulation abzusichern. Der Browser berechnet den Hash der geladenen Datei und vergleicht ihn mit dem im integrity-Attribut des HTML-Tags angegebenen Referenzwert. Stimmt der Hash nicht überein, verweigert der Browser die Ausführung der Ressource. SRI schützt vor Supply-Chain-Angriffen, bei denen ein CDN-Anbieter kompromittiert wird und Schadcode in beliebte Bibliotheken (z. B. jQuery, Bootstrap) einschleust. Unterstützte Hash-Algorithmen sind SHA-256, SHA-384 (empfohlen) und SHA-512.
Wie funktioniert das Tool?
Das Tool berechnet den kryptografischen Hash der eingegebenen URL-Ressource oder des direkt eingefügten Dateiinhalts mit dem gewählten SHA-Algorithmus. Der Hash wird Base64-kodiert und mit dem Algorithmus-Präfix (z. B. 'sha384-') zu einem integrity-Attributwert kombiniert. Das Tool generiert automatisch das vollständige HTML-Tag mit integrity- und crossorigin-Attribut, das direkt in den Quellcode eingefügt werden kann. Das crossorigin='anonymous'-Attribut ist für SRI erforderlich, da CORS aktiviert sein muss, damit der Browser die Ressource prüfen darf.
Typische Anwendungsfälle
- Absichern von CDN-eingebundenen JavaScript-Bibliotheken (jQuery, Bootstrap, Vue.js) gegen Manipulation
- Absichern externer CSS-Frameworks gegen unerwünschte Änderungen
- Erfüllen von Content Security Policy (CSP)-Anforderungen für externe Ressourcen
- Automatisches Generieren von SRI-Hashes im Build-Prozess zur Überprüfung
Schritt-für-Schritt-Anleitung
- Schritt 1: URL der externen Ressource oder den Dateiinhalt (JS/CSS) in das Eingabefeld eingeben
- Schritt 2: Hash-Algorithmus wählen (empfohlen: SHA-384)
- Schritt 3: Den generierten integrity-Attributwert (z. B. 'sha384-abc123...') kopieren
- Schritt 4: Den Wert als integrity='...' crossorigin='anonymous' in das entsprechende HTML-Tag einfügen
Beispiel
Eingabe
jquery.min.js (3.7.1), Algorithmus: SHA-384
Ausgabe
<script src="https://code.jquery.com/jquery-3.7.1.min.js" integrity="sha384-1H217gwSVyLSIfaLxHbE7dRb3v4mYCKbpQvzx0cegeju1MVsGrX5xXxAvs/HgeFs" crossorigin="anonymous"></script>
Tipps & Hinweise
- Tipp: Immer SHA-384 oder SHA-512 verwenden – SHA-256 wird zwar unterstützt, gilt aber als schwächste empfohlene Option für SRI.
- Tipp: SRI-Hashes müssen nach jedem Update der eingebundenen Bibliothek aktualisiert werden – automatisiere dies im Build-Prozess.
- Tipp: Ohne das crossorigin-Attribut verweigert der Browser die SRI-Prüfung, da der Zugriff auf den Antwort-Body für CORS-gesperrte Ressourcen nicht erlaubt ist.
Häufige Fragen
Funktioniert SRI auch mit selbst gehosteten Ressourcen?
Ja. SRI funktioniert mit jeder externen oder selbst gehosteten Ressource, die via HTTP/HTTPS geladen wird. Bei selbst gehosteten Ressourcen auf derselben Domain ist SRI weniger kritisch, aber trotzdem möglich. Besonders wichtig ist SRI für Ressourcen, die über fremde CDNs oder externe Server geladen werden.
Was passiert, wenn die Ressource geladen wird und der Hash nicht stimmt?
Der Browser blockiert die Ausführung der Ressource vollständig und gibt einen Fehler in der Konsole aus: 'Failed to find a valid digest in the 'integrity' attribute for resource [URL]'. Die Seite wird weiter geladen, aber die betroffene Ressource ist nicht verfügbar.
Schützt SRI vor allen Supply-Chain-Angriffen?
SRI schützt gegen nachträgliche Manipulation einer bereits bekannten Dateiversion. Es schützt nicht, wenn eine neue Version der Bibliothek bereits Schadcode enthält (dann muss der SRI-Hash aktualisiert werden, was den Angriff entdecken würde) oder wenn der Angreifer sowohl den CDN als auch das eigene Repository kompromittiert hat.
SRI Hash Generator
Generiert Subresource Integrity (SRI) Hashes für externe Skripte und Stylesheets.
Tool öffnen