本文共 839 字，大约阅读时间需要 2 分钟。

CORS attribute crossorigin and integrity for secure resource loading

在跨域资源共享（CORS）中，crossorigin属性和integrity属性对于确保资源的安全加载至关重要。CORS机制允许一个网站在从一个外部网站加载资源时，重新定义其访问策略。

crossorigin属性指定在加载相关图片时是否必须使用CORS。该属性的可取值包括anonymous和use-credentials两种模式：

• anonymous模式：会发起一个跨域请求，包含Origin: HTTP头，但不会发送任何认证信息（cookie, X.509证书和HTTP基本认证信息）。如果服务器未设置Access-Control-Allow-Origin: HTTP头，该图片可能会受到污染并导致使用受限。

• use-credentials模式：会发起一个带有认证信息的跨域请求，包含Origin: HTTP头。若服务器未设置相应的Access-Control-Allow-Origin: HTTP头，该请求也可能导致图片污染。

如果crossorigin属性未设置，默认行为是不使用CORS，且不发送Origin: HTTP头，这将阻止图片在元素中使用。未设置crossorigin属性的资源也可能受到限制。

integrity属性则用于保护跨域资源的完整性和安全性。它确保在从不同源加载资源时，对于对应的对庞资源，操作系统将进行完整性检查。这种机制有助于防止不了解的来源对资源造成污染并导致安全隐患。通过设置integrity属性，可以强制对CVE异地资源执行完整性检查，从而保护资源免受潜在威胁。

正确设置crossorigin和integrity属性不仅有助于确保跨域资源的安全加载，还能够优化资源加载过程，减少因未授权访问引起的潜在问题。对于开发者而言，这些属性的理解和配置至关重要，以确保资源在不同环境下都能安全高效地加载。