我有一个用例,我通过NGINX服务器提供反应应用程序代码,该服务器通过JSON格式的post调用从apache服务器获取数据。
在这里我得到了我的JSON数据中的一些内容,其中REACT应用程序将呈现为工具提示并且可以包含HTML。
此工具提示内容被视为来自用户的输入,并且易于注入一些内联java脚本代码。由于有多个地方(一些非UI端点)可以注入这些数据,我不想在我的apache服务器上清理输入数据。
要处理此漏洞,我计划通过设置标题
来使用内容安全策略Content-Security-Policy: default-src 'self'; script-src 'self' *.mydomain.com
我不确定在哪里设置此标头。在为我的反应应用程序提供bundle.js之前,我应该在我的apache服务器或NGINX服务器的响应中设置它吗?
答案 0 :(得分:0)
标题需要应用于包含代表页面的HTML文档的响应。