ÁS ebben le is van írva, hogy ez nem ad semmilyen securityt: non-secure contexts remain non-secure.
Meglepő. Ja, nem.
Thus, it is recommended that authors deliver integrity metadata only to a Secure Context.
Igen, ezt írtam én is, hogy az, ahol leírod a checksum-ot, az legyen SSL/TLS, és akkor az integrity metadata már secure context. Szóval a html fájl, amiből hivatkozod a JS-t, az SSL/TLS csatornán jön, a JS letöltésnek nem kell már SSL/TLS, az mehet HTTP-n, nem tudnak belenyúlni az integritásába a JS fájlnak, se a checksum-nak és egy publikus JS library esetén nem secure kell legyen, nem titkosított kell legyen, hanem az integritása számít. Az meg ezzel garantálható.