由于JSF和Primefaces组件导致内联脚本,因此很难以最佳配置配置CSP头。
作为JSF by design provides XSS protection,是否可以完全不使用CSP或者什么是JSF + Primefaces应用程序的最佳CSP值?
此外,互联网[1] [2]上的主题没有太多讨论/示例代码。 Aren的JSF和Primefaces计划更容易实现CSP,因为它是“深度防御”,强烈推荐的标题?
答案 0 :(得分:2)
要启用它,您可以在web.xml中添加以下上下文参数:
<context-param>
<param-name>primefaces.CSP</param-name>
<param-value>true</param-value>