De, leírják. És a use case-k is, amik a specifikációban vannak, csak arról szólnak, hogy amit betöltesz távolról, az pontosan az legyen, mint amit elvársz, azon sem in-flight, sem at-rest nem történt módosítás.
Le is írják, hogy mind a szervernek, mind a tartalomnak a biztonsága kell ahhoz, hogy ez az egész működjön:
Delivering resources over a secure channel mitigates some of this risk: with TLS [TLS], HSTS [RFC6797], and pinned public keys [RFC7469], a user agent can be fairly certain that it is indeed speaking with the server it believes it’s talking to. These mechanisms, however, authenticate only the server, not the content. An attacker (or administrator) with access to the server can manipulate content with impunity. Ideally, authors would not only be able to pin the keys of a server, but also pin the content, ensuring that an exact representation of a resource, and only that representation, loads and executes.
A cél az, hogy a távolról betöltött erőforrások esetén mindenképp biztos legyél abban, hogy az és csak az töltődik be, amit te szeretnél, attól és csak attól a szervertől, akitől szeretnéd.