弹簧安全是否可以header().contentSecurityPolicy("...")为不同的路线匹配器设置不同的设置?
我目前正在使用以下spring安全配置:
@Configuration
@EnableWebSecurity
public static class MyWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
@Override
protected final void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity.csrf().disable()
.rememberMe().disable()
.headers()
.cacheControl().disable()
.referrerPolicy().and()
.contentSecurityPolicy("default-src 'none'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self'").
// followed by .authorizeRequests() section
Chrome(https://bugs.chromium.org/p/chromium/issues/detail?id=271452)中存在一个错误或至少未指明的行为,如果资源是使用CSP提供的,则会阻止浏览器显示PDF文档-Header具有严格的object-src策略.
为了避免这种行为,我想contentSecurityPolicy()为不同的路由匹配器提供不同的配置(在这种情况下,一个用于"../*.pdf"(或者更好的是匹配响应内容类型的匹配器),另一个用于所有其他路由匹配器要求).
此代码将为两个不同的 URL 创建两个安全过滤器。每个都有自己的内容安全策略:
@Configuration
@Order(1)
class PatterWebSecurityConfigurer : WebSecurityConfigurerAdapter() {
override fun configure(http: HttpSecurity) {
http
.antMatcher("/pattern")
.headers().contentSecurityPolicy("directives")
}
}
@Configuration
@Order(2)
class OtherPatternWebSecurityConfigurer : WebSecurityConfigurerAdapter() {
override fun configure(http: HttpSecurity) {
http
.antMatcher("/otherPattern")
.headers().contentSecurityPolicy("other directives")
}
}
| 归档时间: |
|
| 查看次数: |
436 次 |
| 最近记录: |