Le contenu Politique de Sécurité: La page de paramètres bloqué le chargement d'une ressource en soi?
Que je dispose de Java-base de l'application web s'exécutant sur Tomcat 6. Ma demande est en cours d'exécution sur localhost et le port 9001.
De faire ma demande de plus sûr et de réduire le risque de XSS attaques, j'ai ajouté l'en-tête Content-Security-Policy
avec la valeur par défaut-src * "dangereux-inline' "dangereux-eval';script src 'auto'. Avec cela, je veux permettre à l'application web pour charger les fichiers JavaScript à partir d'un même domaine.
Pour les autres ressources, il continue à se charger de la même manière qu'elle était sans cet en-tête.
Mais j'obtiens l'erreur ci-dessous.
Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src http://localhost:9001").
Je ne suis pas sûr si cela est la cause de l'erreur que vous voyez, mais votre
désolé, je n'ai pas l'obtenir. Quelle devrait être la valeur dans mon cas, alors ?
default-src
ressemble trop plein: "de sources Multiples valeurs de la liste peuvent être les séparant par des espaces à l'exception de *
et none
qui devrait être la seule valeur." (l'accent, le mien) content-security-policy.com/#source_listdésolé, je n'ai pas l'obtenir. Quelle devrait être la valeur dans mon cas, alors ?
OriginalL'auteur emilly | 2015-10-31
Vous devez vous connecter pour publier un commentaire.
Le Contenu Politique de Sécurité de l'en-tête blanche est une liste de sources de confiance.
La
default-src
liste est la liste utilisée par tous les autres*-src
listes. Si il n'est pas présent, la valeur par défaut estdefault-src: *
qui signifie "l'ensemble du contenu est autorisée à partir de n'importe où", qui ne fournit aucune protection contre les attaques de type XSS.Par conséquent, vous devriez commencer avec
default-src none
, de sorte que tout le contenu est rejeté, oudefault-src 'self'
, de sorte que seul le contenu de votre domaine est autorisé.Après cela, d'autres
*-src
peut être remplacé au besoin. Par exemple, les fiducies suivantes auto pour tout, sauf les images, et les images ne sont autorisés à partir de example.com (mais pas de "soi"):Dans votre question, vous spécifiez
default-src * 'unsafe-inline' 'unsafe-eval';
qui pourrait être à l'origine de la question depuis*
implique déjà'unsafe-inline'
et'unsafe-eval'
. C'est comme dire "permettent tout et laisser en ligne et permettre eval".Noter également que le CSP est pris en charge par la
X-Content-Security-Header
dans IE >= 8.Sources:
Est-il possible que je peux dire de chargement de ressources indépendamment du protocole . Je veux dire que je veux charger le javascript, les ressources provenant de deux
https://www.google-analytics.com http://www.google-analytics.com
. Comment puis-je le faire ?OriginalL'auteur kuporific
Essayer:
Veuillez envisager la modification de ton post pour ajouter plus d'explications sur ce que votre code fonctionne et pourquoi il permettra de résoudre le problème. Une réponse qui, pour la plupart juste contient le code (même si ça fonctionne) généralement l'habitude d'aider les OP à comprendre leur problème. Il est également recommandé que vous ne publiez pas une réponse si c'est juste une supposition. Une bonne réponse aura une raison plausible pour expliquer pourquoi il pourrait résoudre le OP.
OriginalL'auteur M Sach