Tho*_*bbe 6 java spring tomcat angularjs content-security-policy
我有一个角度应用程序,根据设置,它与 Tomcat 上的 REST API 或 Jetty 上的 REST API 进行通信。角度应用程序本身与战争托管在同一个 tomcat/jetty 上。
Tomcat 设置前面可能有 Apache(取决于客户端)
该应用程序需要使用 base64 图像(通过 css 加载),但现在,如果它托管在服务器上,我会收到以下错误:
Refused to load the image 'data:image/png;base64,...' because it violates the following Content Security Policy directive: "default-src https:". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.
所以我做了什么:在index.html中,我设置了:
<meta http-equiv="Content-Security-Policy"
content="default-src https: http:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https: http:; style-src http: https: 'unsafe-inline'; img-src 'self' data: https:; connect-src http: https: ws:;">
在手动 Spring 过滤器中,我设置了:
httpServletResponse.setHeader("Content-Security-Policy",
"default-src https: http:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https: http:; style-src http: https: 'unsafe-inline'; img-src 'self' data: https:; connect-src http: https: ws:;");
但当然,这没有任何效果,因为我没有调用 html/js/css 的 API。
据我了解,这并不意味着要在 Tomcat 上配置。您通常在哪里配置内容安全策略/内容安全策略标头?
我需要一个不需要在将安装文件的服务器上进行手动配置的解决方案。
提前致谢!
Mon*_*mul -3
Spring Security 允许用户轻松注入安全标头以帮助保护他们的应用程序。这是内容安全策略的Spring Security 参考文档。需要注意的是,Spring Security 默认情况下不会添加内容安全策略。Web 应用程序作者必须声明安全策略以强制执行和/或监视受保护的资源。您可以使用 Java 配置启用 CSP 标头,如下所示:
\n\n@EnableWebSecurity\npublic class WebSecurityConfig extends\nWebSecurityConfigurerAdapter {\n\n@Override\nprotected void configure(HttpSecurity http) throws Exception {\n http\n // ...\n .headers()\n .contentSecurityPolicy("script-src \'self\' https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/");\n}\n}\n| 归档时间: |
|
| 查看次数: |
30692 次 |
| 最近记录: |