From 310fd066e91f454b990372ffa30e803cc8120975 Mon Sep 17 00:00:00 2001
From: Florian Merz <me@fiji-flo.de>
Date: Thu, 11 Feb 2021 12:56:40 +0100
Subject: unslug zh-cn: move

---
 files/zh-cn/web/security/csp/index.html            |  36 ----
 .../introducing_content_security_policy/index.html |  56 ------
 .../csp/using_csp_violation_reports/index.html     |  97 ----------
 .../information_security_basics/index.html         |  28 ---
 .../configuring_server_mime_types/index.html       | 118 ------------
 .../web/security/subresource_integrity/index.html  | 199 +++++++++++++++++++++
 .../security/transport_layer_security/index.html   |  18 ++
 .../index.html"                                    |  18 --
 .../index.html"                                    | 199 ---------------------
 9 files changed, 217 insertions(+), 552 deletions(-)
 delete mode 100644 files/zh-cn/web/security/csp/index.html
 delete mode 100644 files/zh-cn/web/security/csp/introducing_content_security_policy/index.html
 delete mode 100644 files/zh-cn/web/security/csp/using_csp_violation_reports/index.html
 delete mode 100644 files/zh-cn/web/security/information_security_basics/index.html
 delete mode 100644 files/zh-cn/web/security/securing_your_site/configuring_server_mime_types/index.html
 create mode 100644 files/zh-cn/web/security/subresource_integrity/index.html
 create mode 100644 files/zh-cn/web/security/transport_layer_security/index.html
 delete mode 100644 "files/zh-cn/web/security/\344\274\240\350\276\223\345\261\202\345\256\211\345\205\250\345\215\217\350\256\256/index.html"
 delete mode 100644 "files/zh-cn/web/security/\345\255\220\350\265\204\346\272\220\345\256\214\346\225\264\346\200\247/index.html"

(limited to 'files/zh-cn/web/security')

diff --git a/files/zh-cn/web/security/csp/index.html b/files/zh-cn/web/security/csp/index.html
deleted file mode 100644
index 232b502c3f..0000000000
--- a/files/zh-cn/web/security/csp/index.html
+++ /dev/null
@@ -1,36 +0,0 @@
----
-title: 内容安全策略 (CSP)
-slug: Web/Security/CSP
-translation_of: Web/HTTP/CSP
-translation_of_original: Web/Security/CSP
----
-<div>{{gecko_minversion_header("2.0")}}</div>
-
-<p><b>内容安全策略</b> (CSP, Content Security Policy) 是一个附加的安全层，用于帮助检测和缓解某些类型的攻击，包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。</p>
-
-<p>尽管内容安全策略在 Firefox 4 中已经包含，使用 <code>X-Content-Security-Policy</code> 头部来实现，但它使用的是过时的 CSP 标准。Firefox 23 包含了更新的 CSP 实现，使用的是 W3C CSP 1.0 标准中描述的没有前缀的 <code>Content-Security-Policy</code> 头部和指令。</p>
-
-<h2 id="内容安全策略主题">内容安全策略主题</h2>
-
-<dl>
- <dt><a href="/zh-CN/docs/Security/CSP/Introducing_Content_Security_Policy">介绍内容安全策略</a></dt>
- <dd>概述什么是 CSP，以及它如何让你的网站变得更安全。</dd>
- <dt><a href="/zh-CN/docs/Security/CSP/CSP_policy_directives">CSP 策略指令</a></dt>
- <dd>CSP 策略指令参考。</dd>
- <dt><a href="/zh-CN/docs/Security/CSP/Using_Content_Security_Policy">使用内容安全策略</a></dt>
- <dd>你可以通过配置策略集调整 CSP 的行为。这让你可以按需对个别类型的资源使用宽松或严格的安全策略。这篇文章讲述了如何建立 CSP 和如何激活你网站的 CSP。</dd>
- <dt><a href="/zh-CN/docs/Security/CSP/Using_CSP_violation_reports">使用 CSP 违规报告</a></dt>
- <dd>如何使用 CSP 违规报告来监视攻击你网站的尝试和攻击者。</dd>
- <dt><a href="/zh-CN/docs/Security/CSP/Default_CSP_restrictions">默认 CSP 限制 </a>{{obsolete_inline("15.0")}}</dt>
- <dd>CSP 强制实施的默认限制的细节</dd>
-</dl>
-
-<h2 id="另请参阅">另请参阅</h2>
-
-<ul>
- <li><a href="/zh-CN/docs/Security">Security</a></li>
- <li><a href="/zh-CN/docs/HTTP_access_control">HTTP access control</a></li>
- <li><a class="link-https" href="http://www.w3.org/TR/CSP/">CSP 1.0 specification</a></li>
- <li><a class="link-https" href="https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html">CSP 1.1 specification</a></li>
- <li><a href="/docs/Apps/CSP">CSP restrictions for Open Web Apps</a></li>
-</ul>
diff --git a/files/zh-cn/web/security/csp/introducing_content_security_policy/index.html b/files/zh-cn/web/security/csp/introducing_content_security_policy/index.html
deleted file mode 100644
index ce27f52be4..0000000000
--- a/files/zh-cn/web/security/csp/introducing_content_security_policy/index.html
+++ /dev/null
@@ -1,56 +0,0 @@
----
-title: 内容安全策略介绍
-slug: Web/Security/CSP/Introducing_Content_Security_Policy
-tags:
-  - 介绍
-  - 内容安全策略
-  - 安全
-translation_of: Web/HTTP/CSP
-translation_of_original: Web/Security/CSP/Introducing_Content_Security_Policy
----
-<p>{{ gecko_minversion_header("2") }}</p>
-
-<p><strong>内容安全策略</strong> (CSP)  是一个附加的安全层，用于帮助检测和缓解某些类型的攻击，包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。</p>
-
-<p>CSP被设计成向后兼容；不支持的浏览器依然可以运行使用了它的服务器页面，反之亦然。不支持CSP的浏览器会忽略它，像平常一样运行，默认对网页内容使用标准的同源策略。如果网站不提供CSP头部，浏览器同样会使用标准的<a href="/zh-CN/docs/Same_origin_policy_for_JavaScript">同源策略</a>。</p>
-
-<p>开启CSP就如配置您的页面服务来返回<code>Content-Security-Policy</code> HTTP 头部一样简单. (Firefox 23之前的版本使用的是<code>X-Content-Security-Policy</code> ). 查看 <a href="/en/Security/CSP/Using_Content_Security_Policy" title="en/Security/CSP/Using Content Security Policy">Using Content Security Policy</a> 获取如何配置和开启CSP的细节</p>
-
-<div class="note"><strong>提示：</strong> 内容安全策略<a class="link-https" href="https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html#meta-http-equiv--x-content-security-policy---html-element" title="https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html#meta-http-equiv--x-content-security-policy---html-element">标准特点</a> 是一种能被 {{ HTMLElement("meta") }}元素来配置的一种协议，但这种做法仍未被Firefox支持， 支持这种做法是被添加在<a class="link-https" href="https://bugzilla.mozilla.org/show_bug.cgi?id=663570" title="https://bugzilla.mozilla.org/show_bug.cgi?id=663570">bug 663570</a>.</div>
-
-<h2 id="减少跨域脚本">减少跨域脚本</h2>
-
-<p>CSP的主要目标是减少和报告XSS攻击. XSS攻击利用浏览器对从服务器接受的内容的信任。恶意的脚本在受害的浏览器被执行, 因为浏览器相信内容源，甚至当内容源并不是从它应该来的地方过来的。</p>
-
-<p>CSP使服务器管理员能够通过制定浏览器能够执行的可信赖脚本的域名来减少或者消除由XSS可能出现的矢量。 一个兼容CSP的浏览器将只会执行加载与白名单域名的源文件的脚本，忽略那些其他的脚本（包括内联脚本和事件操控HTML属性）</p>
-
-<p>作为一种最终的保护，想要禁止脚本的站点可以选择全局禁止脚本执行</p>
-
-<h2 id="减少数据包监听攻击">减少数据包监听攻击</h2>
-
-<p>为了重新约束内容被下载的域名, 服务端能够制定那种协议能够被使用；例如（理论上，从安全的立足点来看），一个服务制定所有的内容都通过HTTPS协议来加载</p>
-
-<div class="note"><strong>提示：</strong>一个完整地数据传输安全策略不单单包括通HTTPS加强数据的传输，还可以使所有cookie带上安全标志并且提供从HTTP页面到对应HTTPS页面的自动重定向。</div>
-
-<div class="note"><strong>提示：</strong>站点可能也会使用 <a href="/en/Security/HTTP_Strict_Transport_Security" title="/en/Security/HTTP_Strict_Transport_Security">Strict-Transport-Security</a> HTTP头部来确保浏览器只通过一个加密渠道来连接他们</div>
-
-<h2 id="See_also">See also</h2>
-
-<ul>
- <li><a href="/en/Security/CSP/Using_Content_Security_Policy" title="en/Security/CSP/Using Content Security Policy">Using Content Security Policy</a></li>
- <li><a href="/en/Security/CSP/CSP_policy_directives" title="en/Security/CSP/CSP policy directives">CSP policy directives</a></li>
- <li><a href="/en/Security/CSP/Using_CSP_violation_reports" title="en/Security/CSP/Using CSP violation reports">Using CSP violation reports</a></li>
-</ul>
-
-<h2 id="Specification">Specification</h2>
-
-<ul>
- <li>{{ spec("https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/latest.html", "Content Security Policy 1.1 (Editor's Draft)") }}</li>
- <li>{{ spec("http://www.w3.org/TR/CSP/", "Content Security Policy 1.0 (Candidate Recommendation)") }}</li>
-</ul>
-
-<div class="noinclude">
-<p>{{ languages( { "ja": "ja/Introducing_Content_Security_Policy" } ) }}</p>
-</div>
-
-<p> </p>
diff --git a/files/zh-cn/web/security/csp/using_csp_violation_reports/index.html b/files/zh-cn/web/security/csp/using_csp_violation_reports/index.html
deleted file mode 100644
index 2577fa1fde..0000000000
--- a/files/zh-cn/web/security/csp/using_csp_violation_reports/index.html
+++ /dev/null
@@ -1,97 +0,0 @@
----
-title: Using CSP violation reports
-slug: Web/Security/CSP/Using_CSP_violation_reports
-translation_of: Web/HTTP/CSP
-translation_of_original: Web/Security/CSP/Using_CSP_violation_reports
----
-<p>{{ gecko_minversion_header("2.0") }}{{ draft() }}</p>
-
-<p>CSP其中的一个强大的特性是它为web站点管理员提供了生成和报告详细的站点攻击的描述信息。这些报告通过HTTP的POST请求发送到预先你指定的一个或多个服务器上，这些服务器可以通过 <a href="/en/Security/CSP/CSP_policy_directives#report-uri" title="en/Security/CSP/CSP policy directives#report-uri"><code>report-uri</code></a> 策略来制定。发送的报告是JSON格式的，对于非ASCII字符，其使用了默认的JSON UTF-8编码。本文将向你展示如何在你的站点上配置报告，以及报告的格式。</p>
-
-<p>对于支持CSP的浏览器，只要你制定了合法的 <a href="/en/Security/CSP/CSP_policy_directives#report-uri" style="text-decoration: underline;" title="en/Security/CSP/CSP policy directives#report-uri"><code>report-uri</code></a> 指令，任何违背该策略的攻击操作都会被浏览器所报告。</p>
-
-<h2 id="开启报告">开启报告</h2>
-
-<p>默认情况下，攻击是不会被报告的。要开启报告模式，你要指定 <a href="/en/Security/CSP/CSP_policy_directives#report-uri" title="en/Security/CSP/CSP policy directives#report-uri"><code>report-uri</code></a> 指令，这个指令包含了至少一个用于接收报告的URI:</p>
-
-<pre>Content-Security-Policy: default-src self; report-uri http://reportcollector.example.com/collector.cgi
-</pre>
-
-<p>然后，你要搭建接受报告的服务器；它可以对报告进行存储和并进行适时的处理。</p>
-
-<p>注意：Firefox 23以前的版本所使用的报告头为 X-Content-Security-Policy。这个头在将来将被废弃。</p>
-
-<h2 id="攻击报告的语法">攻击报告的语法</h2>
-
-<p>报告的JSON对象包含了以下的数据:</p>
-
-<dl>
- <dt><code>document-uri</code></dt>
- <dd>当前攻击所发生的文档的URI。</dd>
- <dt><code>referrer</code></dt>
- <dd>当前攻击所发生的文档的来源页面的URI。</dd>
- <dt><code>blocked-uri</code></dt>
- <dd>被CSP策略所拦截的资源的URI。如果被拦截资源的URI属于与当前文档不同的来源，则所拦截的资源URI会被削减至只剩scheme,host和port三部分。</dd>
- <dt><code>violated-directive</code></dt>
- <dd>攻击所针对的策略部分的名称</dd>
- <dt><code>original-policy</code></dt>
- <dd>由X-Content-Security-Policy头指定的原始策略。</dd>
-</dl>
-
-<h2 id="Sample_violation_report">Sample violation report</h2>
-
-<h2 id="攻击报告的样例">攻击报告的样例</h2>
-
-<div>在CSP规范中，已经有一个样例展示攻击报告。这里我们来看另一个例子。</div>
-
-<div> </div>
-
-<div>假设有一个页面叫做<a class="external" href="http://example.com/signup.html" rel="freelink" style="font-family: Consolas, Monaco, 'Andale Mono', monospace;">http://example.com/signup.html</a>. 它使用了一下的策略，它禁止从除cdn.example.com以外的域加载样式表。</div>
-
-<div>
-<pre>Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports
-</pre>
-</div>
-
-<div>signup.html的HTML则像下面这样：</div>
-
-<pre class="brush: html">&lt;!DOCTYPE html&gt;
-&lt;html&gt;
-  &lt;head&gt;
-    &lt;title&gt;Sign Up&lt;/title&gt;
-    &lt;link rel="stylesheet" href="css/style.css"&gt;
-  &lt;/head&gt;
-  &lt;body&gt;
-    ... Content ...
-  &lt;/body&gt;
-&lt;/html&gt;
-</pre>
-
-<div><span style="line-height: 22.0080013275147px;">看到问题了么？在策略中指明样式表只能从cdn.example.com加载，而这个页面则试图从它本域（http://example.com）下载样式表. 浏览器基于强制CSP的开启，在这个页面被访问时，将以下的报告通过POST请求发送到 </span><a href="http://example.com/_/csp-reports" rel="freelink" style="font-family: Consolas, Monaco, 'Andale Mono', monospace;">http://example.com/_/csp-reports</a><span style="line-height: 22.0080013275147px;"> 下</span></div>
-
-<pre>{
-  "csp-report": {
-    "document-uri": "http://example.com/signup.html",
-    "referrer": "",
-    "blocked-uri": "http://example.com/css/style.css",
-    "violated-directive": "style-src cdn.example.com",
-    "original-policy": "default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports"
-  }
-}
-</pre>
-
-<p><span style="line-height: 22.0080013275147px;">我们可以看到，这个报告在blocked-uri中包含了错误资源的整个路径。而这并非总是这样。例如，当signup.html试图从</span><a href="http://anothercdn.example.com/stylesheet.css" style="text-decoration: underline;"><code>http://anothercdn.example.com/stylesheet.css</code></a><span style="line-height: 22.0080013275147px;">加载css的时候，浏览器只会记录来源(http://anothercdn.example.com)而不会记录完整的路径。CSP规范中对这一行为进行了</span><a href="http://www.w3.org/TR/CSP/#violation-reports">解释</a>。总结一下<span style="line-height: 22.0080013275147px;">，CSP的作用是放置跨域信息的泄露。值得注意的是，规范中的</span> <a href="http://www.w3.org/TR/CSP/#sample-violation-report">攻击报告范例</a> 有一处错误(其中blocked-uri应该是"http://evil.example.com")。</p>
-
-<h2 id="更多参考">更多参考</h2>
-
-<ul>
- <li><a href="/en/Security/CSP/Introducing_Content_Security_Policy" title="en/Security/CSP/Introducing Content Security Policy">Introducing Content Security Policy</a></li>
- <li><a href="/en/Security/CSP/Using_Content_Security_Policy" title="en/Security/CSP/Using Content Security Policy">Using Content Security Policy</a></li>
- <li><a href="/en/Security/CSP/CSP_policy_directives" title="en/Security/CSP/CSP policy directives">CSP policy directives</a></li>
-</ul>
-
-<div class="noinclude">
-<p>{{ languages( { "ja": "ja/Security/CSP/Using_CSP_violation_reports" } ) }}</p>
-</div>
-
-<p> </p>
diff --git a/files/zh-cn/web/security/information_security_basics/index.html b/files/zh-cn/web/security/information_security_basics/index.html
deleted file mode 100644
index d9c1f0769f..0000000000
--- a/files/zh-cn/web/security/information_security_basics/index.html
+++ /dev/null
@@ -1,28 +0,0 @@
----
-title: 信息安全基础
-slug: Web/Security/Information_Security_Basics
-translation_of: Web/Security/Information_Security_Basics
----
-<p>了解安全基础知识有助于你了解整个Web开发生命周期中安全性的作用和重要性。 这将帮助你避免不必要的不安全软件，使得攻击者利用漏洞获得经济利益或其他恶意用途。以下的文章提供一些基本的Web安全理论和定义。</p>
-
-<dl>
- <dt><a href="/en-US/Learn/Confidentiality,_Integrity,_and_Availability">机密性、完整性和可用性</a></dt>
- <dd>描述了信息安全的基本目标，是理解信息安全的基础。</dd>
- <dt><a href="https://developer.mozilla.org/en-US/Learn/Vulnerabilities">漏洞</a></dt>
- <dd>明确主要漏洞策略以及讨论在所有软件中的存在的所有漏洞。</dd>
- <dt><a href="/en-US/Learn/Threats">威胁 - Threats</a></dt>
- <dd>对主要威胁概念的简单介绍。</dd>
- <dt><a href="/en-US/Learn/Security_Controls">安全控制 - Security Controls</a></dt>
- <dd>明确主要安全控制策略以及它们潜在的缺点。</dd>
- <dt><a href="/en-US/Learn/TCP_IP_Security">TCP/IP 安全</a></dt>
- <dd>TCP/IP模型的介绍，还有SSL的教程。</dd>
-</dl>
-
-<h2 id="相关链接">相关链接</h2>
-
-<ul>
- <li><a href="/zh-CN/docs/Mozilla/%E5%AE%89%E5%85%A8">浏览器安全 - Browser security</a></li>
- <li><a href="/en-US/docs/Web/Security">网络安全 - Web security</a></li>
- <li><a href="/en-US/docs/Web/Security/Securing_your_site">让您的网站变得安全 - Securing your site</a></li>
- <li><a href="/en-US/docs/Security/Firefox_Security_Basics_For_Developers">火狐浏览器安全基础开发者须知 - Firefox Security Basics for Developers</a></li>
-</ul>
diff --git a/files/zh-cn/web/security/securing_your_site/configuring_server_mime_types/index.html b/files/zh-cn/web/security/securing_your_site/configuring_server_mime_types/index.html
deleted file mode 100644
index 577aacfb08..0000000000
--- a/files/zh-cn/web/security/securing_your_site/configuring_server_mime_types/index.html
+++ /dev/null
@@ -1,118 +0,0 @@
----
-title: Properly Configuring Server MIME Types
-slug: Web/Security/Securing_your_site/Configuring_server_MIME_types
-tags:
-  - HTTP
-translation_of: Learn/Server-side/Configuring_server_MIME_types
----
-<h2 id="Background" name="Background">Background</h2>
-
-<p>默认情况下，许多web服务器会为那些未知内容类型的文件配置一个默认MIME类型<code>text/plain</code> 或者<code>application/octet-stream</code> 。当一种新的内容类型被创造或者被添加到web服务器上，web管理者在添加它到web服务器配置中可能会失败。主要原因是用户使用Gecko-based 的浏览器，而这种浏览器只相信由web服务器和web应用所发布的MIME类型</p>
-
-<h3 id="What_are_MIME_types.3F" name="What_are_MIME_types.3F">What are MIME types?</h3>
-
-<p>MIME类型描述了邮件或者web服务器或者web应用中的媒体内容的类型，其目的是为了指导web浏览器对媒体内容的处理和表现。MIME类型的示例如下：</p>
-
-<ul>
- <li><code>text/html</code>  对于一般网页</li>
- <li><code>text/plain</code> 对于一般文本</li>
- <li><code>text/css</code> 对于级联样式表</li>
- <li><code>text/javascript</code> 对于脚本</li>
- <li><code>application/octet-stream</code> 意味着“下载这个文件”</li>
- <li><code>application/x-java-applet</code> 对于 Java applets</li>
- <li><code>application/pdf</code> 对于 PDF 文档</li>
-</ul>
-
-<h3 id="Technical_Background" name="Technical_Background">Technical Background</h3>
-
-<p>完整的MIME类型列表可在 <a class="external" href="http://www.iana.org/assignments/media-types/index.html">IANA | MIME Media Types</a> 查看.</p>
-
-<p>在<a class="external" href="http://www.w3.org/Protocols/HTTP/1.1/spec.html">HTTP specification</a> 中定义了能够描述在web中使用的媒体类型的MIME超集。</p>
-
-<h3 id="Why_are_correct_MIME_types_important.3F" name="Why_are_correct_MIME_types_important.3F">Why are correct MIME types important?</h3>
-
-<p><img alt="Example of an incorrect MIME type result" class="internal" src="/@api/deki/files/729/=Incorrect-mime-screen.jpg" style="float: right;"> 假如web服务器或者应用报告内容的MIME类型不正确，根据HTTP规范，或许发起人想要处理和显示内容通过他所规定的MIME类型，因此web浏览器无法采取任何措施。</p>
-
-<p>对于某些浏览器，例如IE，它尝试允许web服务器对于错误配置通过其源码猜测它可能的正确MIME类型。</p>
-
-<p>这种做法将会避免许多由web管理员他们的错误。因为当内容的MIME类型错误，IE将会用可能正确的MIME类型来继续处理内容。例如你设置一个<code>img</code>的类型为<code>text/plain</code> ,IE可能会设置它为正确的MIME类型<code>images/*</code></p>
-
-<p>出于安全原因，使用正确的MIME类型的服务内容也是重要的； 恶意内容可能会影响用户的计算机，假装它是一个安全类型文档，实际上不是。</p>
-
-<div class="note">
-<p><strong>注意:</strong> 从历史角度, 只要HTML文档请求处理CSS文件 ，Firefox 能够正常加载CSS即使它设置了错误的MIME类型。处于安全原因, {{ gecko("2.0") }} 对于从请求文档不同来源加载的样式表，将不再这样做。如果CSS来自于不同来源，你必须设置它的正确MIME类型 (<code>text/css</code>).</p>
-
-<p>Gecko 1.9.1.11 (Firefox 3.5.11) 和 Gecko 1.9.2.5 (Firefox 3.6.5) 同样实施这种安全措施，但是提高它的实用性。如果样式表中的第一行看起来是一个很好的CSS构造，则存在允许加载的临时启发式算法。在Firefox 4中已经删除了启发式，您必须正确设置<code>text/css</code> 的MIME类型，才能够识别CSS。</p>
-</div>
-
-<h2 id="Why_browsers_should_not_guess_MIME_types" name="Why_browsers_should_not_guess_MIME_types">为何浏览器不应该猜测 MIME 类型</h2>
-
-<p>除了违返了HTTP规范，让浏览器去猜测正确的MIME类型是一个差劲的策略。原因如下</p>
-
-<h4 id="Loss_of_control" name="Loss_of_control">失去控制</h4>
-
-<p>假如浏览器忽略报告的MIME类型，web管理员和用户不在对内容如何进行处理有发言权了。</p>
-
-<p>例如，面对web开发员的网址可能希望发送某些实例HTML文档，同时通希望能够以 <code>text/html</code>或者 <code>text/plain</code> 的MIME类型进行数据的处理和显示 或者 作为一个源代码。如果浏览器猜测它的正确MIME类型为 <code>text/html</code> 那么开发员不在有权利进行选择了。</p>
-
-<h4 id="Security" name="Security">安全性</h4>
-
-<p>一些内容类型，例如可执行程序，本质上是不安全的。原因是经过规范化的MIME类型都有经过严格规定浏览器如何对这类类型的文件进行操作。一个可执行程序不能够在用户的电脑浏览器上执行，但可以通过弹出会话询问是否下载这个文件</p>
-
-<p>MIME类型猜测导致IE浏览器的安全漏洞（通过利用IE能够将错误的MIME类型 修改为正确的类型）。这绕过了正常的下载对话框，导致InternetExplorer猜测内容是可执行程序，然后在用户的计算机上运行。</p>
-
-<h2 id="如何确定服务器发送内容的_MIME_类型">如何确定服务器发送内容的 MIME 类型</h2>
-
-<p>通过开发者工具的 ContentType 查看MIME类型。</p>
-
-<p>根据标准，通过一个 <code>meta</code> 标签来设置MIME类型 例如 <code><span class="nowiki">&lt;meta http-equiv="Content-Type" content="text/html"&gt;</span></code><span class="nowiki"> 当包含</span>{{HTTPHeader("Content-Type")}} 时则忽略 <code>meta</code> 标签</p>
-
-
-
-<h2 id="如何为你的内容确定正确的_MIME_类型">如何为你的内容确定正确的 MIME 类型</h2>
-
-<p>这里有几种方法来确定文件的正确MIME类型</p>
-
-<ol>
- <li>如果你的内容是通过供应商软件应用创建的，那么你可以阅读供应商文档确认不同媒体文件的MIME值</li>
- <li>通过查看完整的MIME类型表 <a class="external" href="http://www.iana.org/assignments/media-types/index.html">IANA | MIME Media Types registry</a> </li>
- <li>如果使用插件netscape gecko显示媒体类型，请安装插件，然后查看“帮助”&gt;“关于插件”菜单，以查看哪些MIME类型与媒体类型相关联。</li>
- <li>搜索文件扩展名 <a class="external" href="http://filext.com/">FILExt</a> 或者<a class="external" href="http://www.file-extensions.org/">File extensions reference</a> ，确认扩展名和哪种类型的MIME相关联</li>
-</ol>
-
-<h2 id="如何设置服务器以发送正确的MIME类型">如何设置服务器以发送正确的MIME类型</h2>
-
-<p>基本的方法是配置你的服务器发送正确的HTTP <code>ContentType</code>类型给每个文档</p>
-
-<ul>
- <li>如果您正在使用Apache Web服务器，只需将此示例.htaccess文件复制到包含要使用正确MIME类型发送的文件的目录中。 如果你有一个完整的文件子目录，只需将文件放在父目录中；您不需要将它放在每个子目录中。</li>
- <li>如果您使用的是Microsoft IIS, 请参阅<a href="http://www.iana.org/assignments/media-types/index.html">IANA | MIME Media Types registry</a>这篇文章。</li>
- <li>如果您使用服务器端脚本生成内容，通常可以在脚本顶部附近添加一行。 您可以从Perl，PHP，ASP或Java提供HTML以外的内容 - 只需相应地更改MIME类型即可。
-  <ul>
-   <li>对于 Perl CGI，你应该在文档其他行之前输出 <code>print "Content-Type: text/html\n\n";</code>。如果您正在使用CGI模块, 你可以使用 <code>print $cgi-&gt;header('text/html');</code>  代替, 其中 <code>$cgi</code> 是对CGI实例的引用。</li>
-   <li>对于 PHP，你应该在文档其他行之前输出 <code>header('Content-Type: text/html');</code>。</li>
-   <li>对于 ASP, 你应该在文档其他行之前输出<code>response.ContentType = "text/html";</code>。</li>
-   <li>对于 Java servlet, 你需要在<code>doGet</code> 或 <code>doPost</code> 方法之前输出<code>response.setContentType("text/html");</code> ，其中 <code>response</code> 是对 <code>HttpServletResponse</code>的引用。</li>
-  </ul>
- </li>
-</ul>
-
-<h3 id="Related_Links" name="Related_Links">Related Links</h3>
-
-<ul>
- <li><a href="/en/Incorrect_MIME_Type_for_CSS_Files" title="en/Incorrect_MIME_Type_for_CSS_Files">Incorrect MIME Type for CSS Files</a></li>
- <li><a class="external" href="http://www.iana.org/assignments/media-types/index.html">IANA | MIME Media Types</a></li>
- <li><a class="external" href="http://www.w3.org/Protocols/HTTP/1.1/spec.html">Hypertext Transfer Protocol — HTTP/1.1</a></li>
- <li><a class="external" href="http://support.microsoft.com/default.aspx?sd=msdn&amp;scid=kb;en-us;293336">Microsoft - 293336 - INFO: WebCast: MIME Type Handling in Microsoft Internet Explorer</a></li>
- <li><a class="external" href="http://msdn.microsoft.com/workshop/networking/moniker/overview/appendix_a.asp">Microsoft - Appendix A: MIME Type Detection in Internet Explorer</a></li>
- <li><a class="external" href="http://www.microsoft.com/windows/ie/downloads/critical/q290108/">Microsoft - Security Update, March 29, 2001</a></li>
- <li><a class="external" href="http://www.microsoft.com/windows/ie/downloads/critical/Q313675/">Microsoft - Security Update, December 13, 2001</a></li>
-</ul>
-
-<div class="originaldocinfo">
-<h3 id="Original_Document_Information" name="Original_Document_Information">Original Document Information</h3>
-
-<ul>
- <li>Author: Bob Clary, date: 20 Feb 2003</li>
-</ul>
-</div>
diff --git a/files/zh-cn/web/security/subresource_integrity/index.html b/files/zh-cn/web/security/subresource_integrity/index.html
new file mode 100644
index 0000000000..86c80188c0
--- /dev/null
+++ b/files/zh-cn/web/security/subresource_integrity/index.html
@@ -0,0 +1,199 @@
+---
+title: Subresource Integrity
+slug: Web/Security/子资源完整性
+tags:
+  - CORS
+  - SRI
+  - Security
+  - Subresource Integrity
+  - 子资源完整性
+translation_of: Web/Security/Subresource_Integrity
+---
+<p><strong>子资源完整性</strong>(SRI)是允许浏览器检查其获得的资源（例如从 <a href="/en-US/docs/Glossary/CDN">CDN</a> 获得的）是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。</p>
+
+<h2 id="SRI_如何工作">SRI 如何工作</h2>
+
+<p>使用 {{Glossary("CDN", "内容分发网络 (CDNs)")}} 在多个站点之间共享脚本和样式表等文件可以提高站点性能并节省带宽。然而，使用CDN也存在风险，如果攻击者获得对 CDN 的控制权，则可以将任意恶意内容注入到 CDN 上的文件中 （或完全替换掉文件)<br>
+ ），因此可能潜在地攻击所有从该 CDN 获取文件的站点。</p>
+
+<p>子资源完整性通过确保 Web 应用程序获得的文件未经第三方注入或其他任何形式的修改来降低这种攻击的风险。</p>
+
+
+
+<div class="note">
+<p><strong>Note</strong>: SRI并不能规避所有的风险。第三方库经常会自己请求额外的信息，这就有可能会携带用户的账号密码等关键信息。这些经常需要js功能的支持，比如一个地图库会需要取&lt;svg&gt;数据来渲染，但是包含点击事件。</p>
+</div>
+
+<h2 id="如何使用_SRI">如何使用 SRI</h2>
+
+<p>将使用 base64 编码过后的文件哈希值写入你所引用的 {{HTMLElement("script")}} 或 {{HTMLElement("link")}} 标签的 <strong>integrity</strong> 属性值中即可启用子资源完整性功能。</p>
+
+<p>integrity 值分成两个部分，第一部分指定哈希值的生成算法（目前支持 sha256、sha384 及 sha512），第二部分是经过 base64 编码的实际哈希值，两者之间通过一个短横（-）分割。</p>
+
+<div class="note">
+<p><strong>integrity</strong> 值可以包含多个由空格分隔的哈希值，只要文件匹配其中任意一个哈希值，就可以通过校验并加载该资源。</p>
+</div>
+
+<p>使用 base64 编码 sha384 算法计算出摘要后的 <strong>integrity</strong> 值的例子：</p>
+
+<pre>sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC
+</pre>
+
+<p><code>oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC</code> 即哈希值部分，<code>sha384</code> 前缀说明使用的是 sha384 哈希方法。</p>
+
+<div class="note">
+<p><strong>integrity</strong> 中的“hash”部分，严格来说，是一种经过特定的哈希函数转换之后的密码学摘要。但是更一般的叫法就是<strong>哈希</strong>，本文用的也是这种叫法。</p>
+</div>
+
+<h3 id="生成_SRI_哈希的工具">生成 SRI 哈希的工具</h3>
+
+<p>你可以用 <strong>openssl</strong> 在命令行中执行如下命令来生成 SRI 哈希值：</p>
+
+<pre>cat <strong>FILENAME.js</strong> | openssl dgst -sha384 -binary | openssl enc -base64 -A         </pre>
+
+<p>或者用 <strong>shasum</strong> 在命令行中执行：</p>
+
+<pre><code>shasum -b -a 384 FILENAME.js | xxd -r -p | base64</code></pre>
+
+<p><code>另外，</code><a href="https://srihash.org/">SRI Hash Generator</a> 是一个在线生成 SRI 哈希值的工具。</p>
+
+<h2 id="内容安全策略及子资源完整性">内容安全策略及子资源完整性</h2>
+
+<p>你可以根据<a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP">内容安全策略</a>来配置你的服务器使得指定类型的文件遵守 SRI。这是通过在 CSP 头部添加 {{CSP("require-sri-for")}} 指令实现的：</p>
+
+<pre><code>Content-Security-Policy: require-sri-for script;</code></pre>
+
+<p><code>这条指令规定了所有 JavaScript 都要有 <strong>integrity</strong> 属性，且通过验证才能被加载。</code></p>
+
+<p>你也可以指定所有样式表也要通过 SRI 验证：</p>
+
+<pre><code>Content-Security-Policy: require-sri-for style;</code></pre>
+
+<p><code>你也可以对两者都加上验证。</code></p>
+
+<h2 id="范例">范例</h2>
+
+<p>在这个例子中，我们已知 <code id="sriSnippet">oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC 是一个指定文件，比如 </code><code>example-framework.js，经过 SHA-384</code> 算法得出的摘要，同时在 <code>https://example.com/example-framework.js 上有其一份拷贝。</code></p>
+
+<h3 id="在_script_标签中增加_SRI">在 script 标签中增加 SRI</h3>
+
+<p>你可以使用以下的 {{HTMLElement("script")}} 元素告诉浏览器在执行 https://example.com/example-framework.js 中的内容之前，必须先比较该文件的哈希值是否和预期的一致，只有一致才能执行。</p>
+
+<pre class="brush: html">&lt;script src="https://example.com/example-framework.js"
+        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
+        crossorigin="anonymous"&gt;&lt;/script&gt;</pre>
+
+<div class="note">
+<p>有关 <strong>crossorigin </strong>属性的更多信息，见 <a href="/en-US/docs/Web/HTML/CORS_settings_attributes">CORS settings attributes</a>.</p>
+</div>
+
+<h2 id="浏览器如何处理_SRI">浏览器如何处理 SRI</h2>
+
+<p>浏览器根据以下步骤处理 SRI：</p>
+
+<ol>
+ <li>当浏览器在  {{HTMLElement("script")}} 或者 {{HTMLElement("link")}}  标签中遇到 <strong>integrity</strong> 属性之后，会在执行脚本或者应用样式表之前对比所加载文件的哈希值和期望的哈希值。</li>
+ <li>当脚本或者样式表的哈希值和期望的不一致时，浏览器必须拒绝执行脚本或者应用样式表，并且必须返回一个网络错误说明获得脚本或样式表失败。</li>
+</ol>
+
+<h2 id="规范">规范</h2>
+
+<table class="standard-table">
+ <tbody>
+  <tr>
+   <th scope="col">规范</th>
+   <th scope="col">状态</th>
+   <th scope="col">注释</th>
+  </tr>
+  <tr>
+   <td>{{SpecName('Subresource Integrity')}}</td>
+   <td>{{Spec2('Subresource Integrity')}}</td>
+   <td></td>
+  </tr>
+  <tr>
+   <td>{{SpecName('Fetch')}}</td>
+   <td>{{Spec2('Fetch')}}</td>
+   <td></td>
+  </tr>
+ </tbody>
+</table>
+
+<h2 id="浏览器兼容性">浏览器兼容性</h2>
+
+<p>{{CompatibilityTable}}</p>
+
+<div id="compat-desktop">
+<table class="compat-table">
+ <tbody>
+  <tr>
+   <th>Feature</th>
+   <th>Chrome</th>
+   <th>Firefox (Gecko)</th>
+   <th>Internet Explorer</th>
+   <th>Opera</th>
+   <th>Safari</th>
+  </tr>
+  <tr>
+   <td>The integrity attribute for <code>&lt;script&gt;</code> and <code>&lt;link&gt;</code></td>
+   <td>{{ CompatChrome("45.0") }}</td>
+   <td>{{ CompatGeckoDesktop("43") }}</td>
+   <td>{{CompatNo}}</td>
+   <td>{{CompatOpera("32")}}</td>
+   <td>{{CompatNo}} [1]</td>
+  </tr>
+  <tr>
+   <td>The CSP {{CSP("require-sri-for")}} directive</td>
+   <td>{{CompatUnknown}}</td>
+   <td>{{ CompatGeckoDesktop("49") }}</td>
+   <td>{{CompatUnknown}}</td>
+   <td>{{CompatUnknown}}</td>
+   <td>{{CompatUnknown}}</td>
+  </tr>
+ </tbody>
+</table>
+</div>
+
+<div id="compat-mobile">
+<table class="compat-table">
+ <tbody>
+  <tr>
+   <th>Feature</th>
+   <th>Chrome for Android</th>
+   <th>Firefox Mobile (Gecko)</th>
+   <th>IE Mobile</th>
+   <th>Opera Mobile</th>
+   <th>Safari Mobile</th>
+  </tr>
+  <tr>
+   <td>The integrity attribute for <code>&lt;script&gt;</code> and <code>&lt;link&gt;</code></td>
+   <td>{{ CompatChrome("45.0") }}</td>
+   <td>{{CompatGeckoMobile("43")}}</td>
+   <td>{{CompatNo}}</td>
+   <td>{{CompatNo}}</td>
+   <td>{{CompatNo}} [1]</td>
+  </tr>
+  <tr>
+   <td>The CSP {{CSP("require-sri-for")}} directive</td>
+   <td>{{CompatUnknown}}</td>
+   <td>{{CompatGeckoMobile("49")}}</td>
+   <td>{{CompatUnknown}}</td>
+   <td>{{CompatUnknown}}</td>
+   <td>{{CompatUnknown}}</td>
+  </tr>
+ </tbody>
+</table>
+</div>
+
+<p>[1] {{WebKitBug(148363)}}</p>
+
+<p>[2] 位于 <code>security.csp.experimentalEnabled</code> 之后的是: config preference。</p>
+
+<h2 id="相关资料">相关资料</h2>
+
+<ul>
+ <li>Content Security Policy 内容安全策略</li>
+ <li>{{httpheader("Content-Security-Policy")}}</li>
+ <li><a href="https://frederik-braun.com/using-subresource-integrity.html" id="page-title">A CDN that can not XSS you: Using Subresource Integrity</a></li>
+</ul>
+
+<p>{{QuickLinksWithSubpages("/zh-CN/docs/Web/Security")}}</p>
diff --git a/files/zh-cn/web/security/transport_layer_security/index.html b/files/zh-cn/web/security/transport_layer_security/index.html
new file mode 100644
index 0000000000..ed6e6bb128
--- /dev/null
+++ b/files/zh-cn/web/security/transport_layer_security/index.html
@@ -0,0 +1,18 @@
+---
+title: 传输层安全协议
+slug: Web/Security/传输层安全协议
+tags:
+  - 传输层安全协议
+  - 安全
+  - 密码学
+translation_of: Web/Security/Transport_Layer_Security
+---
+<p><span class="seoSummary">使用传输层安全性协议（TLS）进行的任何连接的安全性在很大程度上取决于密码套件和所选的安全性参数。 本文的目的是帮助您确保客户端和服务器之间的机密性和完整性通信。</span>Mozilla运营安全团队（OpSec）维护了 <a href="https://wiki.mozilla.org/Security/Server_Side_TLS">服务器端TLS参考配置的Wiki条目</a>。</p>
+
+<p class="summary">传输层安全性协议（Transport Layer Security protocol，TLS）是使两个联网应用程序或设备能够安全可靠地交换信息的标准。使用TLS的应用程序可以自行选择安全性参数，这可能会对数据的安全性和可靠性产生重大影响。本文对TLS进行了概述，并提供了多种在保护内容时需要做出的决策。</p>
+
+<h3 id="另请参阅">另请参阅</h3>
+
+<ul>
+ <li><a href="https://cipherli.st/">Cipherli.st's</a> 此网站为各种各样的软件产品列出了强大的TLS配置信息供参考。</li>
+</ul>
diff --git "a/files/zh-cn/web/security/\344\274\240\350\276\223\345\261\202\345\256\211\345\205\250\345\215\217\350\256\256/index.html" "b/files/zh-cn/web/security/\344\274\240\350\276\223\345\261\202\345\256\211\345\205\250\345\215\217\350\256\256/index.html"
deleted file mode 100644
index ed6e6bb128..0000000000
--- "a/files/zh-cn/web/security/\344\274\240\350\276\223\345\261\202\345\256\211\345\205\250\345\215\217\350\256\256/index.html"
+++ /dev/null
@@ -1,18 +0,0 @@
----
-title: 传输层安全协议
-slug: Web/Security/传输层安全协议
-tags:
-  - 传输层安全协议
-  - 安全
-  - 密码学
-translation_of: Web/Security/Transport_Layer_Security
----
-<p><span class="seoSummary">使用传输层安全性协议（TLS）进行的任何连接的安全性在很大程度上取决于密码套件和所选的安全性参数。 本文的目的是帮助您确保客户端和服务器之间的机密性和完整性通信。</span>Mozilla运营安全团队（OpSec）维护了 <a href="https://wiki.mozilla.org/Security/Server_Side_TLS">服务器端TLS参考配置的Wiki条目</a>。</p>
-
-<p class="summary">传输层安全性协议（Transport Layer Security protocol，TLS）是使两个联网应用程序或设备能够安全可靠地交换信息的标准。使用TLS的应用程序可以自行选择安全性参数，这可能会对数据的安全性和可靠性产生重大影响。本文对TLS进行了概述，并提供了多种在保护内容时需要做出的决策。</p>
-
-<h3 id="另请参阅">另请参阅</h3>
-
-<ul>
- <li><a href="https://cipherli.st/">Cipherli.st's</a> 此网站为各种各样的软件产品列出了强大的TLS配置信息供参考。</li>
-</ul>
diff --git "a/files/zh-cn/web/security/\345\255\220\350\265\204\346\272\220\345\256\214\346\225\264\346\200\247/index.html" "b/files/zh-cn/web/security/\345\255\220\350\265\204\346\272\220\345\256\214\346\225\264\346\200\247/index.html"
deleted file mode 100644
index 86c80188c0..0000000000
--- "a/files/zh-cn/web/security/\345\255\220\350\265\204\346\272\220\345\256\214\346\225\264\346\200\247/index.html"
+++ /dev/null
@@ -1,199 +0,0 @@
----
-title: Subresource Integrity
-slug: Web/Security/子资源完整性
-tags:
-  - CORS
-  - SRI
-  - Security
-  - Subresource Integrity
-  - 子资源完整性
-translation_of: Web/Security/Subresource_Integrity
----
-<p><strong>子资源完整性</strong>(SRI)是允许浏览器检查其获得的资源（例如从 <a href="/en-US/docs/Glossary/CDN">CDN</a> 获得的）是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。</p>
-
-<h2 id="SRI_如何工作">SRI 如何工作</h2>
-
-<p>使用 {{Glossary("CDN", "内容分发网络 (CDNs)")}} 在多个站点之间共享脚本和样式表等文件可以提高站点性能并节省带宽。然而，使用CDN也存在风险，如果攻击者获得对 CDN 的控制权，则可以将任意恶意内容注入到 CDN 上的文件中 （或完全替换掉文件)<br>
- ），因此可能潜在地攻击所有从该 CDN 获取文件的站点。</p>
-
-<p>子资源完整性通过确保 Web 应用程序获得的文件未经第三方注入或其他任何形式的修改来降低这种攻击的风险。</p>
-
-
-
-<div class="note">
-<p><strong>Note</strong>: SRI并不能规避所有的风险。第三方库经常会自己请求额外的信息，这就有可能会携带用户的账号密码等关键信息。这些经常需要js功能的支持，比如一个地图库会需要取&lt;svg&gt;数据来渲染，但是包含点击事件。</p>
-</div>
-
-<h2 id="如何使用_SRI">如何使用 SRI</h2>
-
-<p>将使用 base64 编码过后的文件哈希值写入你所引用的 {{HTMLElement("script")}} 或 {{HTMLElement("link")}} 标签的 <strong>integrity</strong> 属性值中即可启用子资源完整性功能。</p>
-
-<p>integrity 值分成两个部分，第一部分指定哈希值的生成算法（目前支持 sha256、sha384 及 sha512），第二部分是经过 base64 编码的实际哈希值，两者之间通过一个短横（-）分割。</p>
-
-<div class="note">
-<p><strong>integrity</strong> 值可以包含多个由空格分隔的哈希值，只要文件匹配其中任意一个哈希值，就可以通过校验并加载该资源。</p>
-</div>
-
-<p>使用 base64 编码 sha384 算法计算出摘要后的 <strong>integrity</strong> 值的例子：</p>
-
-<pre>sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC
-</pre>
-
-<p><code>oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC</code> 即哈希值部分，<code>sha384</code> 前缀说明使用的是 sha384 哈希方法。</p>
-
-<div class="note">
-<p><strong>integrity</strong> 中的“hash”部分，严格来说，是一种经过特定的哈希函数转换之后的密码学摘要。但是更一般的叫法就是<strong>哈希</strong>，本文用的也是这种叫法。</p>
-</div>
-
-<h3 id="生成_SRI_哈希的工具">生成 SRI 哈希的工具</h3>
-
-<p>你可以用 <strong>openssl</strong> 在命令行中执行如下命令来生成 SRI 哈希值：</p>
-
-<pre>cat <strong>FILENAME.js</strong> | openssl dgst -sha384 -binary | openssl enc -base64 -A         </pre>
-
-<p>或者用 <strong>shasum</strong> 在命令行中执行：</p>
-
-<pre><code>shasum -b -a 384 FILENAME.js | xxd -r -p | base64</code></pre>
-
-<p><code>另外，</code><a href="https://srihash.org/">SRI Hash Generator</a> 是一个在线生成 SRI 哈希值的工具。</p>
-
-<h2 id="内容安全策略及子资源完整性">内容安全策略及子资源完整性</h2>
-
-<p>你可以根据<a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP">内容安全策略</a>来配置你的服务器使得指定类型的文件遵守 SRI。这是通过在 CSP 头部添加 {{CSP("require-sri-for")}} 指令实现的：</p>
-
-<pre><code>Content-Security-Policy: require-sri-for script;</code></pre>
-
-<p><code>这条指令规定了所有 JavaScript 都要有 <strong>integrity</strong> 属性，且通过验证才能被加载。</code></p>
-
-<p>你也可以指定所有样式表也要通过 SRI 验证：</p>
-
-<pre><code>Content-Security-Policy: require-sri-for style;</code></pre>
-
-<p><code>你也可以对两者都加上验证。</code></p>
-
-<h2 id="范例">范例</h2>
-
-<p>在这个例子中，我们已知 <code id="sriSnippet">oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC 是一个指定文件，比如 </code><code>example-framework.js，经过 SHA-384</code> 算法得出的摘要，同时在 <code>https://example.com/example-framework.js 上有其一份拷贝。</code></p>
-
-<h3 id="在_script_标签中增加_SRI">在 script 标签中增加 SRI</h3>
-
-<p>你可以使用以下的 {{HTMLElement("script")}} 元素告诉浏览器在执行 https://example.com/example-framework.js 中的内容之前，必须先比较该文件的哈希值是否和预期的一致，只有一致才能执行。</p>
-
-<pre class="brush: html">&lt;script src="https://example.com/example-framework.js"
-        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"
-        crossorigin="anonymous"&gt;&lt;/script&gt;</pre>
-
-<div class="note">
-<p>有关 <strong>crossorigin </strong>属性的更多信息，见 <a href="/en-US/docs/Web/HTML/CORS_settings_attributes">CORS settings attributes</a>.</p>
-</div>
-
-<h2 id="浏览器如何处理_SRI">浏览器如何处理 SRI</h2>
-
-<p>浏览器根据以下步骤处理 SRI：</p>
-
-<ol>
- <li>当浏览器在  {{HTMLElement("script")}} 或者 {{HTMLElement("link")}}  标签中遇到 <strong>integrity</strong> 属性之后，会在执行脚本或者应用样式表之前对比所加载文件的哈希值和期望的哈希值。</li>
- <li>当脚本或者样式表的哈希值和期望的不一致时，浏览器必须拒绝执行脚本或者应用样式表，并且必须返回一个网络错误说明获得脚本或样式表失败。</li>
-</ol>
-
-<h2 id="规范">规范</h2>
-
-<table class="standard-table">
- <tbody>
-  <tr>
-   <th scope="col">规范</th>
-   <th scope="col">状态</th>
-   <th scope="col">注释</th>
-  </tr>
-  <tr>
-   <td>{{SpecName('Subresource Integrity')}}</td>
-   <td>{{Spec2('Subresource Integrity')}}</td>
-   <td></td>
-  </tr>
-  <tr>
-   <td>{{SpecName('Fetch')}}</td>
-   <td>{{Spec2('Fetch')}}</td>
-   <td></td>
-  </tr>
- </tbody>
-</table>
-
-<h2 id="浏览器兼容性">浏览器兼容性</h2>
-
-<p>{{CompatibilityTable}}</p>
-
-<div id="compat-desktop">
-<table class="compat-table">
- <tbody>
-  <tr>
-   <th>Feature</th>
-   <th>Chrome</th>
-   <th>Firefox (Gecko)</th>
-   <th>Internet Explorer</th>
-   <th>Opera</th>
-   <th>Safari</th>
-  </tr>
-  <tr>
-   <td>The integrity attribute for <code>&lt;script&gt;</code> and <code>&lt;link&gt;</code></td>
-   <td>{{ CompatChrome("45.0") }}</td>
-   <td>{{ CompatGeckoDesktop("43") }}</td>
-   <td>{{CompatNo}}</td>
-   <td>{{CompatOpera("32")}}</td>
-   <td>{{CompatNo}} [1]</td>
-  </tr>
-  <tr>
-   <td>The CSP {{CSP("require-sri-for")}} directive</td>
-   <td>{{CompatUnknown}}</td>
-   <td>{{ CompatGeckoDesktop("49") }}</td>
-   <td>{{CompatUnknown}}</td>
-   <td>{{CompatUnknown}}</td>
-   <td>{{CompatUnknown}}</td>
-  </tr>
- </tbody>
-</table>
-</div>
-
-<div id="compat-mobile">
-<table class="compat-table">
- <tbody>
-  <tr>
-   <th>Feature</th>
-   <th>Chrome for Android</th>
-   <th>Firefox Mobile (Gecko)</th>
-   <th>IE Mobile</th>
-   <th>Opera Mobile</th>
-   <th>Safari Mobile</th>
-  </tr>
-  <tr>
-   <td>The integrity attribute for <code>&lt;script&gt;</code> and <code>&lt;link&gt;</code></td>
-   <td>{{ CompatChrome("45.0") }}</td>
-   <td>{{CompatGeckoMobile("43")}}</td>
-   <td>{{CompatNo}}</td>
-   <td>{{CompatNo}}</td>
-   <td>{{CompatNo}} [1]</td>
-  </tr>
-  <tr>
-   <td>The CSP {{CSP("require-sri-for")}} directive</td>
-   <td>{{CompatUnknown}}</td>
-   <td>{{CompatGeckoMobile("49")}}</td>
-   <td>{{CompatUnknown}}</td>
-   <td>{{CompatUnknown}}</td>
-   <td>{{CompatUnknown}}</td>
-  </tr>
- </tbody>
-</table>
-</div>
-
-<p>[1] {{WebKitBug(148363)}}</p>
-
-<p>[2] 位于 <code>security.csp.experimentalEnabled</code> 之后的是: config preference。</p>
-
-<h2 id="相关资料">相关资料</h2>
-
-<ul>
- <li>Content Security Policy 内容安全策略</li>
- <li>{{httpheader("Content-Security-Policy")}}</li>
- <li><a href="https://frederik-braun.com/using-subresource-integrity.html" id="page-title">A CDN that can not XSS you: Using Subresource Integrity</a></li>
-</ul>
-
-<p>{{QuickLinksWithSubpages("/zh-CN/docs/Web/Security")}}</p>
-- 
cgit v1.2.3-54-g00ecf