Subresource Integrity (SRI) für Laravel konfigurieren
Schritt-für-Schritt-Anleitung: Subresource Integrity (SRI) in Laravel einrichten — mit Middleware-Code zum Kopieren und Best Practices.
Subresource Integrity (SRI) in Laravel
Subresource Integrity (SRI) sichert externe Scripts und Stylesheets durch kryptographische Hashes. Der Browser prüft, ob die geladene Ressource dem erwarteten Hash entspricht — manipulierte CDN-Dateien werden blockiert. SRI ist mit 15 von 166 Punkten ein wichtiger Faktor.
In Laravel mit Vite verwenden Sie das vite-plugin-sri Paket, das automatisch SRI-Hashes für alle Build-Assets generiert. Für externe Scripts setzen Sie integrity-Attribute manuell in Blade-Templates.
Subresource Integrity (SRI) in der Middleware konfigurieren
Fügen Sie den Header in Ihrer SecurityHeaders-Middleware hinzu. Der Header wird bei jedem Response automatisch gesetzt.
// vite.config.js — SRI für Laravel Vite
import sri from 'vite-plugin-sri';
import laravel from 'laravel-vite-plugin';
export default defineConfig({
plugins: [
laravel({ input: ['resources/js/app.js'] }),
sri({ algorithm: 'sha384' })
]
});
<!-- Blade-Template: Externe Scripts mit SRI -->
<script
src="https://cdn.example.com/lib.js"
integrity="sha384-..."
crossorigin="anonymous">
</script>Konfiguration verifizieren
Prüfen Sie nach dem Build, ob die generierten HTML-Dateien integrity-Attribute auf Script- und Link-Tags haben.
Häufige Fehler
crossorigin-Attribut vergessen
SRI erfordert das crossorigin="anonymous" Attribut auf Cross-Origin-Ressourcen. Ohne dieses Attribut kann der Browser den Hash nicht prüfen und blockiert die Ressource.
Hash-Mismatch nach CDN-Update
Wenn ein CDN seine Dateien aktualisiert, stimmt der gespeicherte Hash nicht mehr. Pinnen Sie externe Libraries auf exakte Versionen (z.B. lib@2.1.0 statt lib@latest).
Compliance-Relevanz
Wie steht Ihre Domain bei Subresource Integrity (SRI)?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.