feat(security): 支持可配置的 SRI 哈希算法，增加 SHA-256 和 SHA-384 选项

cklwblove · cklwblove · commit 9eab2f943952 · 2025-07-17T10:14:26.000+08:00
diff --git a/README.md b/README.md
@@ -5,7 +5,7 @@
 ## 功能特性
 
 - 自动为 HTML 文件中的 `<script>` 和 `<link>` 标签生成 SRI 属性
-- 支持 SHA-512 哈希算法
+- 支持 SHA-256、SHA-384、SHA-512 哈希算法（可配置）
 - 自动添加 `crossorigin="anonymous"` 属性以确保 SRI 正常工作
 - 仅在生产环境下生效，开发环境自动跳过
 
@@ -34,9 +34,9 @@ export default defineConfig({
 
 ### `sri`
 
-- **类型**: `boolean`
+- **类型**: `boolean | { algorithm: 'sha256' | 'sha384' | 'sha512' }`
 - **默认值**: 需要手动设置
-- **描述**: 是否启用 SRI（子资源完整性）功能
+- **描述**: 是否启用 SRI（子资源完整性）功能，以及可选的哈希算法配置
 
 当设置为 `true` 时，插件会：
 
@@ -45,46 +45,18 @@ export default defineConfig({
 3. 为所有带有 `href` 属性的 `<link>` 标签添加 `integrity` 属性
 4. 自动添加 `crossorigin="anonymous"` 属性（如果不存在）
 
-## 示例
-
-### 输入 HTML
+你也可以通过对象方式指定哈希算法：
 
-```html
-<!DOCTYPE html>
-<html>
-<head>
-  <link rel="stylesheet" href="/assets/app.css">
-</head>
-<body>
-  <script src="/assets/app.js"></script>
-</body>
-</html>
-```
-
-### 输出 HTML（启用 SRI 后）
-
-```html
-<!DOCTYPE html>
-<html>
-<head>
-  <link rel="stylesheet" href="/assets/app.css" integrity="sha512-ABC123..." crossorigin="anonymous">
-</head>
-<body>
-  <script src="/assets/app.js" integrity="sha512-XYZ789..." crossorigin="anonymous"></script>
-</body>
-</html>
+```typescript
+security: {
+  sri: {
+    algorithm: 'sha512' // 可选 'sha256' | 'sha384' | 'sha512'，默认 'sha512'
+  }
+}
 ```
 
-## 安全说明
-
-SRI（子资源完整性）是一种安全特性，允许浏览器验证获取的资源（例如从 CDN 获取的资源）没有被恶意修改。当浏览器加载资源时，会计算资源的哈希值并与 `integrity` 属性中指定的哈希值进行比较。如果哈希值不匹配，浏览器将拒绝加载该资源。
-
-## 注意事项
-
-1. 此插件仅在生产构建时生效，开发环境会自动跳过
-2. 需要确保资源文件在构建输出目录中可访问
-3. `integrity` 属性必须与 `crossorigin` 属性配合使用才能正常工作
+## 示例
 
-## 许可证
+### 输入 HTML
 
-MIT
+```
diff --git a/src/index.ts b/src/index.ts
@@ -5,7 +5,9 @@ import { cheerio, logger } from '@winner-fed/utils';
 import type { IApi } from '@winner-fed/winjs';
 
 interface SecurityConfig {
-  sri: boolean;
+  sri: boolean | {
+    algorithm: 'sha256' | 'sha384' | 'sha512';
+  };
 }
 
 export default (api: IApi) => {
@@ -15,7 +17,12 @@ export default (api: IApi) => {
     config: {
       schema({ zod }) {
         return zod.object({
-          sri: zod.boolean(),
+          sri: zod.union([
+            zod.boolean(),
+            zod.object({
+              algorithm: zod.enum(['sha256', 'sha384', 'sha512']).default('sha512'),
+            })
+          ])
         });
       },
     },
@@ -26,11 +33,22 @@ export default (api: IApi) => {
     async (html: { htmlFiles?: Array<{ path: string; content: string }> }) => {
       const config = api.config.security as SecurityConfig;
 
-      // 只有当 sri 配置为 true 时才生成 SRI
+      // 只有当 sri 配置为 true 或对象时才生成 SRI
       if (!config?.sri) {
         return;
       }
 
+      // 处理 sri 配置，支持 boolean 和对象
+      let sriConfig: { algorithm: 'sha256' | 'sha384' | 'sha512' };
+      if (config.sri === true) {
+        sriConfig = { algorithm: 'sha512' };
+      } else if (typeof config.sri === 'object' && config.sri !== null && typeof (config.sri as any).algorithm === 'string') {
+        sriConfig = { algorithm: (config.sri as any).algorithm };
+      } else {
+        // 未指定算法时，默认 sha512
+        sriConfig = { algorithm: 'sha512' };
+      }
+
       const htmlFiles = html?.htmlFiles || [];
       if (api.env === 'development' || htmlFiles.length === 0) {
         return;
@@ -68,9 +86,9 @@ export default (api: IApi) => {
           }
 
           if (source) {
-            const hash = createHash('sha512').update(source).digest('base64');
+            const hash = createHash(sriConfig.algorithm).update(source).digest('base64');
 
-            $el.attr('integrity', `sha512-${hash}`);
+            $el.attr('integrity', `${sriConfig.algorithm}-${hash}`);
 
             // https://developer.mozilla.org/zh-CN/docs/Web/HTML/Attributes/crossorigin
             // 在进行跨域资源请求时，integrity 必须配合 crossorigin 使用，不然浏览器会丢弃这个资源的请求
