在JSP / Spring中禁用内容安全策略

时间:2018-01-24 13:44:32

标签: java spring jsp content-security-policy

在我的 view.jsp 文件中,我使用“object”-tag链接到另一个页面。看起来像是:

<object
 data="https://thisIsAnExample"
 height="540" style="overflow: hidden;" type="text/html" width="960">
</object>

但是在调用视图时它说:

  

阻止内容安全政策。

我已经尝试在.jsp文件的头部添加一些元数据,如

<meta http-equiv="Content-Security-Policy" content="object-src 'https:/thisIsAnExample';">


<meta http-equiv="Content-Security-Policy" content="sandbox">

但没有任何作用!
有什么建议吗?
谢谢!

1 个答案:

答案 0 :(得分:2)

<meta http-equiv>在设计 Content-Security-Policy 标头时不会影响CSP。如果确实如此,那么可以注入内容的攻击者可以覆盖Content-Security-Policy并注入脚本。另请参阅https://stackoverflow.com/a/41345974/20394

您必须修改生成Content-Security-Policy标头的代码才能添加object-src 

object-src https://thisIsAnExample;

请注意,不需要引号。

如果您的团队中有安全专家,请与他们联系。

相关问题
最新问题