Bilibili-Evolved项目中外部JS脚本的完整性校验问题解析

背景介绍

Bilibili-Evolved是一个功能强大的B站增强脚本项目，为用户提供了丰富的视频播放和界面定制功能。在项目开发中，开发者经常需要引入第三方JavaScript库来扩展功能，比如lodash这样的工具库。然而，直接引入外部资源时如果不进行完整性校验，可能会带来安全隐患。

问题本质

当Bilibili-Evolved项目通过@require指令引入外部JS脚本时，如果未指定对应的哈希值，会导致两个主要问题：

1. 安全隐患：如果外部JS资源被恶意篡改，用户浏览器会直接加载被污染的脚本，可能导致XSS攻击或其他安全问题。

2. 兼容性问题：当用户启用了篡改猴(Tampermonkey)的"强制子资源完整性"(Subresource Integrity，简称SRI)选项时，未指定哈希值的外部JS脚本会被阻止加载，导致脚本功能失效。

技术原理

子资源完整性(SRI)是W3C提出的一项安全标准，它允许开发者通过指定资源的加密哈希值，确保浏览器加载的资源未被篡改。其工作原理是：

1. 开发者在引入外部资源时，附加一个加密哈希值(如SHA-256、SHA-384或SHA-1)
2. 浏览器下载资源后，会计算其实际哈希值
3. 比较计算值与预设值，不一致则拒绝加载

在用户脚本中，可以通过以下格式指定哈希值：

// @require https://example.com/script.js#sha256=abc123...

解决方案

对于Bilibili-Evolved项目，建议对所有外部依赖的JS资源进行以下改进：

1. 添加哈希校验：为每个@require引入的外部JS文件添加对应的哈希值
2. 选择合适的哈希算法：优先使用SHA-256或SHA-384等更安全的算法
3. 版本锁定：确保引用的外部资源版本固定，避免因上游更新导致哈希不匹配

实施建议

1. 构建流程集成：在项目构建流程中加入自动计算哈希值的步骤
2. 定期检查：定期验证外部资源的哈希值是否仍然有效
3. 文档说明：在项目文档中说明SRI的重要性，指导用户正确配置

安全最佳实践

1. 优先使用内容分发网络(CDN)提供的带有SRI的官方资源
2. 对于关键安全资源，考虑自托管以确保可用性
3. 建立资源更新机制，当外部资源更新时能及时同步哈希值

通过实施这些改进措施，可以显著提升Bilibili-Evolved项目的安全性和兼容性，为用户提供更可靠的使用体验。