由于 JSF 和 Primefaces 组件导致内联脚本,因此很难以最佳配置配置 CSP header 。
如 JSF by design provides XSS protection ,完全不使用 CSP 是否可以,或者对于 JSF+Primefaces 应用程序来说最好的 CSP 值是什么?
此外,Internet [1] 上关于该主题的讨论/示例代码并不多。 [2] . JSF 和 Primefaces 是否计划提供更简单的 CSP 实现,因为它是“深度防御”,强烈推荐的标题?
最佳答案
要启用它,您可以将以下上下文参数添加到您的 web.xml:
<context-param>
<param-name>primefaces.CSP</param-name>
<param-value>true</param-value>
关于jsf - jsf、primefaces 应用程序的内容安全策略 header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49377658/