Le contenu Politique de Sécurité: La page de paramètres bloqué le chargement d'une ressource en soi?

Que je dispose de Java-base de l'application web s'exécutant sur Tomcat 6. Ma demande est en cours d'exécution sur localhost et le port 9001.

De faire ma demande de plus sûr et de réduire le risque de XSS attaques, j'ai ajouté l'en-tête Content-Security-Policy avec la valeur par défaut-src * "dangereux-inline' "dangereux-eval';script src 'auto'. Avec cela, je veux permettre à l'application web pour charger les fichiers JavaScript à partir d'un même domaine.

Pour les autres ressources, il continue à se charger de la même manière qu'elle était sans cet en-tête.

Mais j'obtiens l'erreur ci-dessous.

Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src http://localhost:9001").
Je ne suis pas sûr si cela est la cause de l'erreur que vous voyez, mais votre default-src ressemble trop plein: "de sources Multiples valeurs de la liste peuvent être les séparant par des espaces à l'exception de * et none qui devrait être la seule valeur." (l'accent, le mien) content-security-policy.com/#source_list
désolé, je n'ai pas l'obtenir. Quelle devrait être la valeur dans mon cas, alors ?

OriginalL'auteur emilly | 2015-10-31

  1. 5

    Le Contenu Politique de Sécurité de l'en-tête blanche est une liste de sources de confiance.

    La default-src liste est la liste utilisée par tous les autres *-src listes. Si il n'est pas présent, la valeur par défaut est default-src: * qui signifie "l'ensemble du contenu est autorisée à partir de n'importe où", qui ne fournit aucune protection contre les attaques de type XSS.

    Par conséquent, vous devriez commencer avec

    • default-src none, de sorte que tout le contenu est rejeté, ou
    • default-src 'self', de sorte que seul le contenu de votre domaine est autorisé.

    Après cela, d'autres *-src peut être remplacé au besoin. Par exemple, les fiducies suivantes auto pour tout, sauf les images, et les images ne sont autorisés à partir de example.com (mais pas de "soi"):

    default-src 'self'; img-src example.com;

    Dans votre question, vous spécifiez default-src * 'unsafe-inline' 'unsafe-eval'; qui pourrait être à l'origine de la question depuis * implique déjà 'unsafe-inline' et 'unsafe-eval'. C'est comme dire "permettent tout et laisser en ligne et permettre eval".

    Noter également que le CSP est pris en charge par la X-Content-Security-Header dans IE >= 8.

    Sources:

    J'ai essayé tout un script src "moi", mais elle n'a fait aucune différence que je reçois toujours la même erreur
    Est-il possible que je peux dire de chargement de ressources indépendamment du protocole . Je veux dire que je veux charger le javascript, les ressources provenant de deux https://www.google-analytics.com http://www.google-analytics.com. Comment puis-je le faire ?

    OriginalL'auteur kuporific

  2. -3

    Essayer:

    default-src * 'unsafe-inline' 'unsafe-eval';script-src 'self' 'unsafe-inline' 'unsafe-eval'
    Il ne ressemble à une tentative de répondre à la question. C'est un peu mince, oui, mais si vous pensez, cette réponse est fausse ou incomplète, vous pouvez downvote.
    Veuillez envisager la modification de ton post pour ajouter plus d'explications sur ce que votre code fonctionne et pourquoi il permettra de résoudre le problème. Une réponse qui, pour la plupart juste contient le code (même si ça fonctionne) généralement l'habitude d'aider les OP à comprendre leur problème. Il est également recommandé que vous ne publiez pas une réponse si c'est juste une supposition. Une bonne réponse aura une raison plausible pour expliquer pourquoi il pourrait résoudre le OP.

    OriginalL'auteur M Sach