jsf - jsf、primefaces 应用程序的内容安全策略 header

标签 jsf primefaces content-security-policy

由于 JSF 和 Primefaces 组件导致内联脚本,因此很难以最佳配置配置 CSP header 。

JSF by design provides XSS protection ,完全不使用 CSP 是否可以,或者对于 JSF+Primefaces 应用程序来说最好的 CSP 值是什么?

此外,Internet [1] 上关于该主题的讨论/示例代码并不多。 [2] . JSF 和 Primefaces 是否计划提供更简单的 CSP 实现,因为它是“深度防御”,强烈推荐的标题?

最佳答案

要启用它,您可以将以下上下文参数添加到您的 web.xml:

<context-param>
<param-name>primefaces.CSP</param-name>
<param-value>true</param-value>

关于jsf - jsf、primefaces 应用程序的内容安全策略 header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49377658/

上一篇:glsl - WebGL - 有没有在 HTML 中嵌入着色器的替代方法?

下一篇:haskell - Clojure STM 与 Haskell STM 有何不同?

相关文章:

session 范围的托管 bean 和 actionListener

jsf - :graphicImage images not displayed

javascript - Cordova - 拒绝执行内联事件处理程序,因为它违反了以下内容安全策略

jsf - com.sun.faces.config.ConfigurationException : Unable to parse document 'jndi:/localhost/NotowaniaGieldowe/WEB-INF/faces-config.xml' : null

jsf - 识别和解决javax.el.PropertyNotFoundException:目标不可达

java - Primefaces 数据表 onrowselect 事件在 IE 8 中不起作用

jsf - Tomcat 6、Primefaces、JSF

jsf - 如何将内容呈现为纯文本和 URL 编码

iOS 拒绝连接,因为它既没有出现在 Content Security Policy 的 connect-src 指令和 default-src 指令中

python - Chrome 中的嵌入器不允许生成 Wasm 代码

©2024 IT工具网  联系我们