未显示内容安全策略

Question

我想将内容安全策略添加到我的项目中。

我看到了这个帖子：Configuring Content-Security-Policy header for grails 2.5 application

我在我的项目中安装了这个插件：https://grails.org/plugin/xframeoptions?skipRedirect=true

我在config.groovy中添加了以下代码行：

grails.plugin.xframeoptions.urlPattern = '/project_name/*'
grails.plugin.xframeoptions.deny = true
grails.plugin.xframeoptions.sameOrigin = true
grails.plugin.xframeoptions.enabled = true

我将这一行添加到main.gsp

<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-inline' 'unsafe-eval';">

但我在浏览器中看不到安全策略，如何在tomcat上执行或配置安全策略？

Answer 1

Grails构建在Spring Boot之上。我认为您应该能够直接使用Spring Security来管理CSP HTTP报头(或元标记)。(我不知道该怎么做，因为我没有使用Grails的经验)

使用Spring Security你也可以配置XFO header，因此你不需要任何额外的X-Frame-Options插件。

另外，如果你通过header发布CSP，你可以使用frame-ancestors指令，它比过时的xfo头要灵活得多，并且覆盖了XFO (除了2019年5月1日之前发布的Safari浏览器)。