У меня есть 2 скрипта в папке ресурсов angularjs. Я сгенерировал для них хэши целостности, используя https://hash.online -convert.com / sha384-generator . В моем localhost все работает нормально. Но на сервере работает только IE, а firefox и chrome сообщают, что хеш не соответствует содержимому. Вот пример того, как файлы включены:
<script src="assets/scripts/jquery-3.1.1.slim.min.js" integrity="sha384-aL/wpCLJCv6t5sBNGKKvqcvD4HI7ELd0TsuutAmgCJcNpe0y7D5ECI62DIOy5Xyl" crossorigin="anonymous"></script>
API реализован в Java Spring, и этот заголовок безопасности также добавлен:
.addHeaderWriter(new StaticHeadersWriter("X-Content-Security-Policy","script-src 'self'"))
Почему Firefox и Chrome правильно проверяют с помощью хеша целостности в веб-сервере? Я что-то упустил?