Subresource Integrity: защита CDN-скриптов от подмены

SRI сравнивает криптографический хэш загруженного файла с ожидаемым; при несовпадении браузер блокирует выполнение — это защита от компрометации CDN или MITM.

Каждое обновление версии скрипта требует нового хэша; автоматизируйте проверку в CI при bump зависимостей.

- [Subresource Integrity — MDN](https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity) — Формат integrity и примеры.

- [SRI — W3C Recommendation](https://www.w3.org/TR/SRI/) — Нормативная спецификация.

---

## Ограничения

SRI не заменяет CSP и не валидирует логику скрипта — только целостность байтов.

Для inline-модулей без внешнего файла SRI не применим; там полагаются на nonce в CSP.