SRI para contenido SSR

Por defecto, Astro-Shield no habilita SRI para contenido SSR (renderizado en el servidor), pero puedes habilitarlo fácilmente estableciendo la opción sri.enableMiddleware a true en tu archivo de configuración de Astro.

import { resolve } from 'node:path'

import { defineConfig } from 'astro/config'
import { shield } from '@kindspells/astro-shield'

const rootDir = new URL('.', import.meta.url).pathname
const modulePath = resolve(rootDir, 'src', 'generated', 'sriHashes.mjs')

export default defineConfig({
  integrations: [
    shield({
      sri: {
        hashesModule: modulePath,
        enableMiddleware: true,
      },
    }),
  ],
})

Precaución

Cuando habilites SRI para contenido SSR, también es recomendable establecer la opción sri.hashesModule.

Reforzando la seguridad para contenido dinámico

Listas de permitidos

Astro-Shield bloqueará cualquier recurso de origen cruzado que no esté explícitamente permitido. Esto se debe a que, de lo contrario, podría abrir la puerta a una variedad de vulnerabilidades de seguridad causadas por cargar contenido no confiable y marcarlo como seguro.

Podemos definir una lista de URLs de recursos permitidos como en el siguiente ejemplo:

import { resolve } from 'node:path'

import { defineConfig } from 'astro/config'
import { shield } from '@kindspells/astro-shield'

const rootDir = new URL('.', import.meta.url).pathname
const modulePath = resolve(rootDir, 'src', 'generated', 'sriHashes.mjs')

export default defineConfig({
  integrations: [
    shield({
      sri: {
        hashesModule: modulePath,
        enableMiddleware: true,

        scriptsAllowListUrls: [
          'https://code.jquery.com/jquery-3.7.1.slim.min.js',
        ],
        stylesAllowListUrls: [
          'https://cdn.jsdelivr.net/npm/bootstrap@5.3.3/dist/css/bootstrap.min.css',
        ],
      },
    }),
  ],
})

Nota

Los recursos que se sirven desde el mismo origen están permitidos. No es necesario añadirlos a la lista de permitidos.

Bloqueo de recursos embebidos

Aunque Astro-Shield no bloquea recursos embebidos por defecto, es recomendable bloquearlos en ciertos casos para prevenir ciertos ataques XSS. Podemos hacerlo estableciendo las opciones sri.allowInlineScripts a false o 'static' (este último permite recursos embebidos solo en contenido estático).

import { resolve } from 'node:path'

import { defineConfig } from 'astro/config'
import { shield } from '@kindspells/astro-shield'

const rootDir = new URL('.', import.meta.url).pathname
const modulePath = resolve(rootDir, 'src', 'generated', 'sriHashes.mjs')

export default defineConfig({
  integrations: [
    shield({
      sri: {
        hashesModule: modulePath,
        enableMiddleware: true,

        allowInlineScripts: false,
        allowInlineStyles: 'static',
      },
    }),
  ],
})

Precaución

Astro podría decidir embeber algunos recursos en el resultado HTML final por razones de rendimiento. Esto podría entrar en conflicto con establecer las opciones anteriores a false o 'static'.

Como solución alternativa, podemos forzar a Vite a no embeber recursos añadiendo la siguiente configuración al archivo astro.config.mjs:

import { defineConfig } from 'astro/config'

export default defineConfig({
  vite: {
    build: { assetsInlineLimit: 0 },
  },
})