配置web应用服务的Content-Security-Policy

最新推荐文章于 2024-06-04 10:00:00 发布
最新推荐文章于 2024-06-04 10:00:00 发布
阅读量2.5w 收藏 8
点赞数 1
分类专栏: java

1.Tomcat中原生的Security

2.配置Tomcat的web.xml

3.配置html的META

                                                                                 Tomcat中原生的Security

Tomcat中的安全管理原理基本与前面JDK中的security类似,只是启动时需要在start后面添加-security参数,tomcat会自动读取 conf/catalina.policy 文件中的权限配置。启动命令如下:

①.startup.bat -security

②.catalina.bat -security

                                                                                    配置Tomcat的web.xml

1.最简单的security

说明:所有用户禁止访问所有源文件

<security-constraint>
    <display-name>interceptor-jsp</display-name>
    <web-resource-collection>
        <web-resource-name>JSPs</web-resource-name>
	    //	 禁止访问的目录
            
        <url-pattern>*.js</url-pattern>
    </web-resource-collection>
		//tomcat所有用户
		
    <auth-constraint/>
</security-constraint>
   	//BASIC使用basic校验方式
<login-config>
    <auth-method>BASIC</auth-method>
</login-config>

2.加用户限制

说明:1.对指定文件限制;2.需输入tomcat用户验证

<security-constraint>
    <display-name>interceptor-jsp</display-name>
    <web-resource-collection>
        <web-resource-name>JSPs</web-resource-name>
        <url-pattern>*.js</url-pattern>
        <url-pattern>*.html</url-pattern>
		//禁止以下请求方式
		
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
         //tomcat次角色可访问,并弹出输入tomcat的用户名,密码提示		
	  
    <auth-constraint>
        <role-name>tomcat</role-name>
    </auth-constraint>
</security-constraint>
<login-config>
    <auth-method>BASIC</auth-method>
</login-config>
<security-role> 
//角色描述

    <description> 
The role that is required to log in to the Administration Application 
</description>
    <role-name>tomcat</role-name>
</security-role

响应结果:

访问首页时需输入tomcat用户信息

访问.js文件响应结果

                                                                                   配置html的META

设置Content-Security-Policy头信息

具体参数:https://www.cnblogs.com/heyuqing/p/6215761.html

<meta http-equiv="Content-Security-Policy" content="
    default-src 'none';
    connect-src *;
    script-src 'self' 'unsafe-inline' 'unsafe-eval' http://api.map.baidu.com http://webapi.amap.com https://hm.baidu.com;
    style-src 'self' 'unsafe-inline';
    media-src 'self';
    object-src 'self';
    img-src 'self' 
">

 

宣讯
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【绿盟】检测到目标Referrer-Policy响应头缺失
naansun的博客
11-19 6689
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应头缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: ...
【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全
A_991128a的博客
06-04 701
环境下的网站存在响应头缺失漏洞如下1、检测到目标X-Content-Type-Options响应头缺失2、检测到目标X-XSS-Protection响应头缺失3、检测到目标Content-Security-Policy响应头缺失 IIS设置4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS。
web应用Content-Security-Policy(csp)配置
loftBlack
08-17 5315
1.csp是什么? CSP(Content Security Policy)指的是内容安全策略 ,是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念 这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许...
Content-Security-Policy设置
xiehuixu9235的博客
11-12 5999
最近处理web安全遇上问题特记录此博客地址. https://www.cnblogs.com/heyuqing/p/6215761.html感谢收集的信息对我产生帮助
内容安全策略CSP--Content-Security-Policy
banliyaoguai的博客
05-02 475
Content Security Policy(CSP)是一种Web安全机制,。它通过允许网站管理员定义和实施一系列安全策略,限制页面加载和执行的内容来源,以减少潜在的安全风险。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP是一个额外的安全层,用于检测并削弱某些特定类型的攻击,使WEB处于一个安全的运行环境中。
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
HTTP响应头未设置‘Content-Security-Policy
weixin_46356409的博客
01-18 2311
当HTTP响应头未设置’Content-Security-Policy’时,表示服务器没有为网页设置内容安全策略(Content Security Policy,CSP)。通过设置内容安全策略,可以限制浏览器加载哪些类型的资源,从而提高网站的安全性。网站容易受到XSS攻击:如果没有设置内容安全策略,攻击者可以在网站上注入恶意脚本,从而窃取用户信息、篡改网页内容或进行其他恶意操作。网站性能可能受到影响:如果没有设置内容安全策略,浏览器需要下载和执行所有类型的资源,这可能会导致网站性能下降。
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 6624
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
前端安全配置Content-Security-Policy(csp)
zhouzuoluo的博客
02-04 3905
什么是CSP CSP全称Content Security Policy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略. 通过CSP所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源...
Vue进阶(三十三)Content-Security-Policy(CSP)详解_content-security-policy前端和后端
2401_84617302的博客
05-16 505
CSP) 是一种加固 Web 应用的安全性技术,通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。CSP 包括很多不同的策略,因此安全设置的具体值取决目标网站的需求和资源使用情况。一般而言,建议设置较为严格的 CSP,以避免XSSCSRF等安全问题。以上设置的 CSP 规则禁止所有来自第三方网站的资源,只允许本网站的资源加载。其中script-src只允许本网站和 example.com 的脚本加载,img-src只允许本网站和 data: URI 的图片加载,
content-security-policy.com:content-security-policy.com网站的源代码
04-27
内容安全策略(Content Security Policy,简称CSP)是Web安全领域的一个重要机制,用于帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。它允许网站管理员通过定义一组策略来控制页面可以加载哪些资源,比如...
Disable Content-Security-Policy-crx插件
04-02
禁用Web应用程序测试的内容安全策略。 当图标彩色时,CSP标题被禁用。 以您自己的风险使用。 这会禁用选项卡的内容安全策略标题。 在测试新的第三方标记包含在页面上的资源时使用此功能。 单击扩展图标以禁用选项卡...
Always Disable Content-Security-Policy-crx插件
04-02
对于Web应用程序测试,始终禁用Content-Security-Policy。 当图标为彩色时,将禁用CSP标头。 这是Phil Grayson扩展的一个分支,唯一的区别是此扩展默认情况下禁用标头。 原文:...
QtConcurrent run 成员函数demo
07-29
使用Qtconcurrent run 成员函数demo
使用智能手机、智能手表和智能眼镜的人类活动数据集
07-29
使用智能手机、智能手表和智能眼镜的人类活动数据集 数据说明: 人类移动性和活动的研究在过去开启了数量惊人的研究,其中大多数包括使用分布在受试者身体上的传感器。最近,智能设备的使用尤为相关,因为它们无处不在,并且带有精确的微型传感器。无论是智能手机、智能手表还是智能眼镜,每种设备都可以用来描述补充信息,如情绪、精确的运动或环境条件。 首先,智能手机主要用于捕获上下文数据。使用两种应用程序:一种是基于SWIPE开源传感系统(SWIPE)的简单数据收集应用程序,以及用于获取用户活动真实数据(TimeLogger)的日志应用程序。SWIPE是一个使用智能手表和智能手机进行传感、记录和处理人类动态的平台。 智能手表主要用来捕捉使用者的心率。运动数据也被收集,但由于需要配置低采样频率,因此不处于数据集的核心,这将极大地增加数据集并消耗电池。使用基于SWIPE的应用程序。 最后,使用JINS MEME智能眼镜。该型号的优点是体积小,携带方便。它没有摄像头或屏幕:它只有三种传感器:加速度计(用于检测步数或活陀螺仪(用于头部运动)和眼动仪传感器(眨眼、眼睛方向)。使用JINSMEME的官方DataLog
【Transformer回归预测】基于EMD-Transformer实现多变量交通数据回归预测附matlab代码 (2).rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现开普勒优化算法KOA-Kmean-Transformer-LSTM组合状态识别算法研究.rar
最新发布
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
tomcat配置Content-Security-Policy
02-23
Content-Security-Policy(CSP)是一种安全策略,用于限制网页中可以加载的资源和执行的操作,以减少跨站点脚本攻击(XSS)、点击劫持等安全风险。在Tomcat配置CSP可以通过以下步骤进行: 1. 打开Tomcat配置文件`web.xml`,通常位于`<Tomcat安装目录>/conf/web.xml`。 2. 在`<web-app>`标签内添加以下内容: ```xml <filter> <filter-name>ContentSecurityPolicy</filter-name> <filter-class>org.apache.catalina.filters.ContentSecurityPolicyFilter</filter-class> <init-param> <param-name>policy</param-name> <param-value>default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';</param-value> </init-param> </filter> <filter-mapping> <filter-name>ContentSecurityPolicy</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 上述配置中,`default-src`指定了默认加载的资源只能来自同源(即当前网页的域名和协议必须与资源的域名和协议一致),`script-src`指定了允许加载的JavaScript脚本,`style-src`指定了允许加载的样式表。 3. 保存并关闭`web.xml`文件。 4. 重新启动Tomcat服务器。 配置完成后,Tomcat会在每个HTTP响应中添加一个名为`Content-Security-Policy`的HTTP头,其中包含了配置的CSP策略。这样,浏览器在加载网页时会根据该策略来限制资源的加载和执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值