为什么没有任何东西可以自动检查浏览器下载的文件的签名？

Question

当从浏览器中的页面下载文件(主要是软件/安装程序)时，有时还附带加密散列或签名，以根据数据操作验证文件的真实性(例如下面的例子)。

为什么没有自动对浏览器说“嘿，这是下载文件的链接，这是下载签名、下载两者并检查其真实性的链接”？

是否存在脆弱性问题？

如果有一些扩展或者其他的东西，请告诉我。

如果能自动检查下载文件的完整性和真实性，那就太好了。

Answer 1

有这样一种机制-- 子资源完整性。它允许网站为页面上的任何<script>或<link>元素指定校验和，其中提供的链接可能指向CDN、合作伙伴站点或主网页源无法控制的其他资源。您可以学习如何使用它，这里。

在单个站点提供的页面的正常上下文中，这是没有意义的，因为如果从站点下载的内容可能不可信，那么该站点提供的任何校验和也是不可信任的。它用于在正在加载的页面和该页面加载的子资源之间进行信任划分的地方。