【发布时间】:2021-12-24 05:26:30
【问题描述】:
我想在 tomcat 中添加内容安全策略标头。我可以通过更改 webxml 文件来添加 x-frame 标头。但是如果我可以以相同的方式添加内容安全策略标头,我就不会。 请帮忙解决这个问题
【问题讨论】:
标签: security tomcat content-security-policy policy tomcat9
【发布时间】:2021-12-24 05:26:30
【问题描述】:
使用web.xml 文件可以publish some security headers,例如X-Frame-Options、X-XSS-Protection,但不是Content-Security-Policy 之一。
因为web.xml 配置基于内置的 Tomcat 过滤器,它还不支持 CSP 标头。因此,您需要创建custom servlet-filter,然后可以在web.xml文件中使用。
您可以在grails-x-frame-options-plugin 中找到一些有关创建自定义过滤器的详细信息,基于 XFO 标头。
OWASP 还提供了 CSP 过滤器的详细示例。
【讨论】: