content-security-policy header 对于 jsf、primefaces 应用程序
content-security-policy header for a jsf, primefaces application
由于 JSF 和 Primefaces 组件会生成内联脚本,因此很难将 CSP header 配置为最佳配置。
作为 JSF by design provides XSS protection,完全不使用 CSP 是否可以,或者 JSF+Primefaces 应用程序的最佳 CSP 值应该是多少?
此外,在 Internet [1][2] 上没有太多关于该主题的 discussion/sample-code。 JSF 和 Primefaces 是否计划提供更简单的 CSP 实现,因为它 'defense-in-depth',强烈推荐 header?
要启用它,您可以将以下上下文参数添加到您的 web.xml:
<context-param>
<param-name>primefaces.CSP</param-name>
<param-value>true</param-value>
由于 JSF 和 Primefaces 组件会生成内联脚本,因此很难将 CSP header 配置为最佳配置。
作为 JSF by design provides XSS protection,完全不使用 CSP 是否可以,或者 JSF+Primefaces 应用程序的最佳 CSP 值应该是多少?
此外,在 Internet [1][2] 上没有太多关于该主题的 discussion/sample-code。 JSF 和 Primefaces 是否计划提供更简单的 CSP 实现,因为它 'defense-in-depth',强烈推荐 header?
要启用它,您可以将以下上下文参数添加到您的 web.xml:
<context-param>
<param-name>primefaces.CSP</param-name>
<param-value>true</param-value>