Tengo Java basadas en web basado en la aplicación que se ejecuta en Tomcat 6. Mi aplicación se está ejecutando en localhost y el puerto 9001.

A hacer que mi aplicación sea más segura y reducir el riesgo de XSS ataques, he añadido el encabezado Content-Security-Policy con valor defecto-src * ‘inseguro-inline’ ‘inseguro-eval’;script src ‘auto’. Con esto quiero permitir la aplicación web para la carga de los archivos de JavaScript desde el mismo dominio.

Para otros recursos que sigue a la carga de la misma manera como lo era sin este encabezado.

Pero estoy recibiendo el siguiente error.

Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src http://localhost:9001").
No estoy seguro de si esto está causando el error que estamos viendo, pero su default-src se ve demasiado lleno: «Múltiples fuentes de lista de valores puede ser un espacio separado con la excepción de * y none que debe ser el único valor de.» (énfasis mío) content-security-policy.com/#source_list
lo siento, no este. Cuál debe ser el valor en mi caso, entonces ?

OriginalEl autor emilly | 2015-10-31

2 Comentarios

  1. 5

    El Contenido de la Política de Seguridad encabezado de una lista blanca de fuentes de confianza.

    La default-src lista es la lista utilizada por el resto de *-src listas. Si no está presente, el valor predeterminado es default-src: * que significa «todo el contenido está permitido desde cualquier lugar», que no ofrecen ninguna protección contra XSS.

    Por lo tanto, usted debe comenzar con

    • default-src none, de modo que todo el contenido no está permitida, o
    • default-src 'self', de modo que sólo el contenido de tu dominio está permitido.

    Después de eso, otras *-src pueden ser reemplazados cuando sea necesario. Por ejemplo, los siguientes fideicomisos auto para todo, excepto las imágenes, y las imágenes son sólo se permite de example.com (pero no de ‘auto’):

    default-src 'self'; img-src example.com;

    En su pregunta, usted especifique default-src * 'unsafe-inline' 'unsafe-eval'; que podría estar causando el problema desde * ya implica 'unsafe-inline' y 'unsafe-eval'. Es como decir «que todo lo permite y permitirá en línea y permitir eval».

    También note que la CSP es compatible a través de la X-Content-Security-Header en IE >= 8.

    Fuentes:

    He intentado solo script src ‘auto’, pero no hace ninguna diferencia porque todavía tengo el mismo error
    Hay una manera que puedo decir de carga de los recursos independientemente del protocolo . Me refiero a que quiero cargar javascript recursos de ambos https://www.google-analytics.com http://www.google-analytics.com. ¿Cómo puedo hacer eso ?

    OriginalEl autor kuporific

  2. -3

    Tratar:

    default-src * 'unsafe-inline' 'unsafe-eval';script-src 'self' 'unsafe-inline' 'unsafe-eval'
    No se ve como un intento de responder a la pregunta. Es un poco delgada, sí, pero si usted piensa, esta respuesta es incorrecta o incompleta, usted puede downvote.
    Por favor, considere la posibilidad de editar tu post para añadir más explicaciones acerca de lo que el código no hace y por qué se va a resolver el problema. Una respuesta que en su mayoría sólo contiene el código (incluso si se trata de trabajo) por lo general no va a ayudar a la OP a entender su problema. También se recomienda que usted no publicar una respuesta si es sólo una conjetura. Una buena respuesta tendrá una razón plausible de por qué podría resolver el OP del problema.

    OriginalEl autor M Sach

Dejar respuesta

Please enter your comment!
Please enter your name here