Compatibilidad con integridad de subrecursos (SRI)

Este documento cubre cómo se admite la integridad de los subrecursos (SRI) en Adobe Experience Platform Launch.

Los sitios web modernos se crean haciendo referencia a imágenes, contenido y secuencias de comandos de diversas ubicaciones de la web. SRI permite a un navegador verificar que el contenido de un archivo solicitado no se haya modificado inesperadamente.

Aunque sus casos de uso se complementan entre sí, la SRI es diferente de una Política de seguridad de contenido (CSP), que garantiza que solo se permitan en el sitio web los archivos de fuentes de confianza. La SRI va un paso más allá al garantizar que el contenido de estos archivos se ajusta a sus expectativas.

NOTA

Para obtener información más detallada sobre la SRI, consulte los documentos web de MDN.

El proceso de validación de la SRI se puede resumir de la siguiente manera:

  1. Puede generar un hash criptográfico del recurso que desea validar.
  2. En el sitio web, el hash se coloca en el atributo integrity del elemento HTML que carga el archivo.
  3. Cuando el navegador ve el atributo integrity, solicita el recurso y genera de forma independiente su propia versión del hash criptográfico.
  4. El explorador compara el hash de integrity con el que generó. Si coinciden, se permite el recurso. Si no coinciden, el recurso se bloqueará.

Limitaciones en los sistemas de administración de etiquetas

Como sistema de administración de etiquetas (TMS), Platform Launch proporciona una compilación de biblioteca JavaScript que se carga en las páginas con un solo elemento <script> (código incrustado). La funcionalidad dinámica que ofrece el sistema de administración de etiquetas se logra intercambiando el contenido de ese script dinámicamente sin que sea necesario cambiar nada más.

Sin embargo, cuando cambia el contenido de la secuencia de comandos, también cambia el hash criptográfico de dicho contenido. Por lo tanto, la única manera de hacer que la SRI funcione con un sistema de administración de etiquetas es actualizar el código incrustado al mismo tiempo que se publica una nueva compilación. Para muchos, esto es contrario al objetivo principal de usar un sistema de administración de etiquetas.

La siguiente mejor opción de seguridad para Platform Launch es implementar una directiva de seguridad de contenido. Para obtener más información, consulte la guía de CSP en Platform Launch.

Integración de la SRI en la implementación de la compilación

Si aún desea utilizar la SRI para las compilaciones de su biblioteca, debe utilizar un alojamiento propio. Si utiliza un alojamiento administrado por Adobe, no hay forma de utilizar la SRI sin tener que pasar algún tiempo en el que el nuevo contenido de la compilación no coincida con el atributo integrity del código incrustado.

La automatización del proceso de actualización del código incrustado variará en complejidad según la estructura del sitio, pero los pasos generales se pueden resumir de la siguiente manera:

  1. Recupere la compilación de la biblioteca de producción, ya sea a través del envío SFTP o descargando el archivo desde la interfaz de usuario.
  2. Genere el hash criptográfico de la compilación principal.
  3. Asegúrese de que el atributo integrity del código incrustado se actualiza al nuevo hash y de que la compilación a la que se hace referencia se actualiza como parte de la misma implementación.
IMPORTANTE

Esta estrategia solo cubre la compilación principal. No incluye ninguno de los archivos más pequeños que puedan existir.

Pasos siguientes

Este documento abarcaba las limitaciones de usar la SRI en Platform Launch y los pasos necesarios para integrarla en las implementaciones de la compilación de la biblioteca a pesar de esas limitaciones. Si aún no lo ha hecho, se recomienda que lea la guía de CSP en Platform Launch para ver una opción de seguridad alternativa.

En esta página

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free