jquery.app
Espanol
EnglishDeutschFrancaisEspanol日本語Nederlands

Herramientas HTML

Gratis Generador de hash SRI

Genera hashes Subresource Integrity para archivos script y stylesheet con SHA-256, SHA-384 o SHA-512.

Cargando herramienta...

Qué es Generador de hash SRI?

Subresource Integrity (SRI) es una característica de seguridad del navegador que verifica el contenido de scripts y hojas de estilo externos. Agrega un atributo integrity a su etiqueta script o link con un hash criptográfico del archivo. Antes de ejecutar el archivo, el navegador calcula su hash y lo compara con el valor integrity. Si los hashes no coinciden porque el archivo fue modificado, comprometido o corrupto, el navegador bloquea el recurso.

Respuesta rápida

Use Subresource Integrity (SRI) para proteger su sitio contra archivos CDN comprometidos. Genere un hash criptográfico del contenido del archivo, agregue el atributo integrity a su etiqueta script o link, e incluya crossorigin="anonymous". El navegador bloquea el recurso si su hash real no coincide.

Last updated: 2026-05-28

Limitaciones

  • SRI solo verifica el contenido del archivo al momento de la carga. No protege contra vulnerabilidades dentro de la biblioteca cargada.
  • El hash debe regenerarse cada vez que el archivo remoto cambia. Si olvida actualizar el atributo integrity, el recurso se bloquea.
  • SRI no funciona con recursos que requieren credenciales de un origen diferente. Use crossorigin="use-credentials" en su lugar.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Cómo usar esta herramienta

  1. Proporcione el contenido del archivo pegando el código directamente o cargando el archivo (el contenido pegado tiene prioridad).
  2. Seleccione el algoritmo de hash — SHA-256 es el estándar; SHA-384 y SHA-512 también son válidos.
  3. Copie el atributo integrity generado y la etiqueta script o link completa en su HTML.

Para qué puedes usarla

  • Agregar verificaciones de integridad a scripts alojados en CDN como jQuery, Bootstrap o cualquier biblioteca de terceros.
  • Verificar que un archivo de biblioteca descargado coincida con el hash esperado antes de implementarlo en producción.
  • Generar atributos de integridad para recursos autoalojados cuando se usa un CDN y subdominio para caché.

Casos de uso

Ejemplos prácticos

Ejemplo

Asegurar una etiqueta script de CDN

Un sitio carga una biblioteca de utilidades desde un CDN. Genere el hash SRI a partir del contenido exacto del archivo, agregue el atributo integrity a la etiqueta script e incluya crossorigin="anonymous". Si el archivo CDN es manipulado, el navegador se niega a ejecutarlo.

Ejemplo

Verificar una biblioteca descargada

Un desarrollador descarga un framework CSS minimizado y quiere confirmar que no ha sido modificado. Cargue el archivo para generar su hash SHA-384, luego compárelo con el hash publicado en el sitio oficial del framework.

Errores comunes

  • Generar un hash a partir de una versión de desarrollo y usarlo en una versión de producción diferente — los hashes no coincidirán.
  • Olvidar el atributo crossorigin="anonymous" en la etiqueta script o link, lo que impide que el navegador calcule el hash para recursos de origen cruzado.
  • Nunca actualizar el hash de integridad después de una actualización de biblioteca CDN — los hashes antiguos bloquean el nuevo archivo.

Verificación

  1. Revise la pestaña Red de las Herramientas de Desarrollador — un recurso con integrity coincidente se carga normalmente; uno no coincidente se bloquea en rojo.
  2. Verifique el hash calculándolo independientemente: openssl dgst -sha256 -binary archivo.js | openssl base64 -A debe coincidir.

FAQ

Preguntas sobre Generador de hash SRI

¿Necesito crossorigin="anonymous" para que SRI funcione?

Sí, si el recurso se sirve desde un origen diferente al de su página. Sin crossorigin="anonymous", el navegador no puede calcular el hash de un recurso de origen cruzado y la verificación de integridad se omite. Para recursos del mismo origen, crossorigin no es requerido pero es inofensivo incluirlo.

¿Qué sucede si el hash SRI no coincide con el archivo?

El navegador se niega a ejecutar el script o aplicar la hoja de estilo. El recurso se bloquea y aparece un error en la consola. Esto protege a sus usuarios de archivos CDN comprometidos, pero una actualización legítima sin la actualización de hash correspondiente rompe su página.

¿Qué algoritmo de hash debo usar para SRI?

SHA-256 es el estándar más utilizado. SHA-384 y SHA-512 también son válidos. Para uso web, SHA-256 es suficiente — la seguridad proviene de la verificación de integridad, no de la longitud del hash.

¿Puedo usar SRI con scripts cargados dinámicamente?

SRI solo funciona con etiquetas script y link estáticas. Para scripts cargados mediante import() o appendChild, puede establecer la propiedad integrity antes de agregarlos. Los módulos cargados con import() no soportan SRI directamente.

Herramientas relacionadas

Más herramientas html

Prueba también

Prueba también