我在gwt中创建了一个Web应用程序,CSP Mitigator说,我在js中加载了很多eval语句和javascript uri,所以我的项目不是Strict CSP Compatible。
但我的问题是,我用java编写代码,gwwt为我编写js。
我也问过gwt社区,但是他们说在下一版gwt中,将涵盖csp合规性。
但在此之前,有谁知道,我该如何解决这个漏洞。
答案 0 :(得分:4)
gwt 2.8.2的发布已经到来,这是csp合规性。
答案 1 :(得分:1)
并非完全开箱即用,只是改进了gwt-2.8.2中的CSP支持。
例如,GWT编译的js包括数据URL,例如data:image / gif; base64 ..并且会违反img-src'self';
在CSP中包含此类URL很尴尬。更糟糕的是使用img-src'self'数据:因为黑客可以在数据方案中注入任何东西。
可以在模块gwt.xml中关闭它。禁用数据:URL
<set-property name="ClientBundle.enableInlining" value="false" />
还存在未决的CSP问题,其中GWT代码库仍然使用需要在CSP声明中使用unsafe-eval的eval。
此外,这是一个问题,因为它违反了CSP,因为eval不是 特别安全,有些网站想禁止它使用 进一步保护他们的数据和用户。