Spring启动时未应用Web Security中定义的Content-Security-Policy

时间:2017-08-31 02:32:35

标签: spring spring-boot spring-security content-security-policy

我正在使用spring boot 1.5.6.RELEASE然后我无法在我的项目中加载CSS文件。

在控制台中显示:

  

拒绝加载样式表   'http://localhost:8080/wicket/resource/io.sample/HomePage-ver-1504145057000.css'   因为它违反了以下内容安全策略指令:   “default-src https:”。请注意,'style-src'未明确设置,因此   'default-src'用作后备。

然后我found the docs然后申请:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.headers()
                .contentSecurityPolicy("default-src 'self'");
    }
}

但它没有写在响应标头中,如Chrome所示:

Content-Security-Policy:default-src https:

但是,当我在春季更改为仅报告时,则适用于仅报告:

爪哇:

   http.headers()
            .contentSecurityPolicy("default-src 'self'")
            .reportOnly();

接头:

Content-Security-Policy:default-src https:
Content-Security-Policy-Report-Only:default-src 'self'

我还需要做点什么吗?

1 个答案:

答案 0 :(得分:0)

也许您可以将style-src'self'添加到您的CSP中,因为它声称存在CSS错误

相关问题
最新问题