Content-Security-Policy
对网络安全很重要。然而,它还不是主流,它的语法很难,它相当令人望而却步,工具很少对其提供灵活的支持。
虽然 Spring Security 确实有一个内置的内容安全策略 (CSP) 配置,但它允许您指定策略字符串,而不是动态构建它。在某些情况下,您需要的不止这些。
特别是,CSP 不鼓励用户使用内联 javascript,因为它引入了漏洞。如果你真的需要它,你可以使用unsafe-inline
,但这是一个糟糕的方法,因为它否定了 CSP 的全部意义。该页面上显示的替代方法是使用hash
或nonce
。
如果您使用.and().headers().contentSecurityPolicy(policy).
策略字符串是静态的,因此您无法为每个请求生成随机数。拥有静态随机数是没有用的。首先,您定义一个 CSP nonce 过滤器:
public class CSPNonceFilter extends GenericFilterBean {
private static final int NONCE_SIZE = 32; //recommended is at least 128 bits/16 bytes
private static final String CSP_NONCE_ATTRIBUTE = "cspNonce";
private SecureRandom secureRandom = new SecureRandom();
@Override
public void doFilter(ServletRequest req, ServletResponse res, Filte