这篇文章主要介绍Spring Security中内容安全策略的示例分析,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!Content-Security-Policy对网络安全很重要。然而,它还不是主流,它的语法很难,它相当令人望而却步,工具很少对其提供灵活的支持。虽然 Spring Security 确实有一个内置的内容安全策略 (CSP) 配置,但它允许您指定策略字符串,而不是动态构建它。在某些情况下,您需要的免费云主机域名不止这些。特别是,CSP 不鼓励用户使用内联 javascript,因为它引入了漏洞。如果你真的需要它,你可以使用unsafe-inline,但这是一个糟糕的方法,因为它否定了 CSP 的全部意义。该页面上显示的替代方法是使用hash或nonce。如果您使用.and().headers().contentSecurityPolicy(policy).策略字符串是静态的,因此您无法为每个请求生成随机数。拥有静态随机数是没有用的。首先,您定义一个 CSP nonce 过滤器:然后使用以下命令使用spring安全性对其进行配置:.addFilterBefore(new CSPNonceFilter(), HeaderWriterFilter.class)。策略字符串`nonce-{nonce}`应该包含在每个请求中被随机数替换的字符串。过滤器设置在HeaderWriterFilter之前,以便它可以包装响应并拦截对设置标头的所有调用。为什么它不能通过在 HeaderWriterFiilter 设置标题后,使用 response.setHeader(..) 覆盖标题- 因为响应已经提交并且覆盖没有任何作用。然后在您出于某种原因需要内联脚本的页面中,您可以使用:(我使用的是 Pebble 模板语法;但您可以使用任何模板来输出请求属性csp-nonce)再一次,内联 javascript 很少是一个好主意,但有时它是必要的,至少是暂时的。例如,如果您将 CSP 添加到遗留应用程序,并且无法重写所有内容。我们应该到处都有 CSP,但是构建策略应该得到我们使用的框架的帮助,否则编写一个不会破坏您的应用程序并且同时安全的适当策略是相当乏味的。以上是“Spring Security中内容安全策略的示例分析”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注百云主机行业资讯频道!
这篇文章主要介绍CSS怎么设置图片放大效果,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!思路:图片放大的动画效果还是由transition和transform实现。先设置 div 的初始位置,过渡的时间等,之后设置 translate,…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
