🐛 修复SRI资源校验

CodFrm · CodFrm · commit d24d9ad3f924 · 2025-08-25T10:13:44.000+08:00
diff --git a/src/app/service/resource/manager.ts b/src/app/service/resource/manager.ts
@@ -17,6 +17,7 @@ import CacheKey from "@App/pkg/utils/cache_key";
 import { isText } from "@App/pkg/utils/istextorbinary";
 import Manager from "../manager";
 import { calculateHashFromArrayBuffer } from "@App/pkg/utils/crypto";
+import { base64ToHex, isBase64 } from "./utils";
 
 // 资源管理器,负责资源的更新获取等操作
 
@@ -126,7 +127,7 @@ export class ResourceManager extends Manager {
     }
     const ret: { [key: string]: Resource } = {};
     await Promise.allSettled(
-      script.metadata.require.map(async (u) => {
+      script.metadata!.require!.map(async (u) => {
         const res = await this.getResource(script.id, u, "require-css");
         if (res) {
           ret[u] = res;
@@ -188,7 +189,7 @@ export class ResourceManager extends Manager {
     }
     const ret: { [key: string]: Resource } = {};
     await Promise.allSettled(
-      script.metadata.require.map(async (u) => {
+      script.metadata!.require!.map(async (u) => {
         const res = await this.checkResource(script.id, u, "require-css");
         if (res) {
           ret[u] = res;
@@ -339,13 +340,21 @@ export class ResourceManager extends Manager {
     if (resource) {
       // 校验hash
       if (u.hash) {
-        if (
-          (u.hash.md5 && u.hash.md5 !== resource.hash.md5) ||
-          (u.hash.sha1 && u.hash.sha1 !== resource.hash.sha1) ||
-          (u.hash.sha256 && u.hash.sha256 !== resource.hash.sha256) ||
-          (u.hash.sha384 && u.hash.sha384 !== resource.hash.sha384) ||
-          (u.hash.sha512 && u.hash.sha512 !== resource.hash.sha512)
-        ) {
+        let flag = true;
+        Object.keys(u.hash).forEach((key) => {
+          if (key in resource.hash) {
+            let hex = u.hash![key];
+            if (isBase64(hex)) {
+              // 转换为hash进对比
+              hex = base64ToHex(u.hash![key]);
+            }
+            // 对比普通的hash
+            if (resource.hash[key as keyof ResourceHash] !== hex) {
+              flag = false;
+            }
+          }
+        });
+        if (!flag) {
           resource.content = `console.warn("ScriptCat: couldn't load resource from URL ${url} due to a SRI error ");`;
         }
       }
@@ -406,7 +415,8 @@ export class ResourceManager extends Manager {
       if (kv.length < 2) {
         return;
       }
-      hash[kv[0]] = kv[1].toLocaleLowerCase();
+      const [key, value] = kv;
+      hash[key] = value;
     });
     return { url: urls[0], hash };
   }
diff --git a/src/app/service/resource/utils.ts b/src/app/service/resource/utils.ts
@@ -0,0 +1,41 @@
+// 检查是不是base64编码
+export function isBase64(str: string): boolean {
+  if (typeof str !== "string" || str.length === 0) {
+    return false;
+  }
+
+  // Base64字符串必须只包含有效的Base64字符
+  const base64Regex = /^[A-Za-z0-9+/]*={0,2}$/;
+  if (!base64Regex.test(str)) {
+    return false;
+  }
+
+  // Base64字符串长度必须是4的倍数（如果有填充），或者没有填充的情况下可以是其他长度
+  // 但要确保它不是纯数字或纯字母（避免误判十六进制字符串）
+  const lengthMod4 = str.length % 4;
+  if (lengthMod4 === 1) {
+    // 长度除以4余数为1的字符串不可能是有效的Base64
+    return false;
+  }
+
+  // 检查是否包含Base64特有的字符（+ 或 /），或者有正确的填充
+  // 这样可以避免将纯十六进制字符串误判为Base64
+  if (str.includes("+") || str.includes("/") || str.endsWith("=")) {
+    return true;
+  }
+
+  // 如果没有特殊字符，检查是否可能是有效的Base64（但要排除明显的十六进制）
+  // 十六进制字符串只包含0-9和a-f（或A-F），而Base64还包含其他字母
+  const hexOnlyRegex = /^[0-9a-fA-F]+$/;
+  if (hexOnlyRegex.test(str)) {
+    // 这很可能是十六进制字符串，不是Base64
+    return false;
+  }
+
+  return true;
+}
+
+export function base64ToHex(base64: string): string {
+  const buffer = Buffer.from(base64, "base64");
+  return buffer.toString("hex");
+}
