我正在尝试为Spring Web应用程序中的所有安全过滤器添加内容安全策略标题属性,我可以使用Spring Security的http元素中的headers元素标记为通用安全过滤器添加它们,但对于登录页面、CSS等的安全过滤器,我无法添加它们,因为Spring Security不允许任何元素包含在http标记中,如果它的security标记设置为"none"。(添加所需的头)Web应用程序无法正确编译,给出"未配置登录页面"错误。以下是我现在使用的配置:
<http pattern="/css/**" security="none"/>
<http pattern="/login.jsp*" security="none"/>
<http auto-config='true'>
<security:headers>
<security:header name="X-Content-Security-Policy" value="default-src 'self'"/>
<security:header name="X-WebKit-CSP" value="default-src 'self'"/>
</security:headers>
<intercept-url pattern="/**" access="ROLE_USER" />
<form-login login-page='/login.jsp'/>
</http>我应该如何解决这个问题,我正在使用这个文档。谢谢。-)
1条答案
按热度按时间2nbm6dog1#
我会尝试实现并注册一个拦截HTTP请求的
HandlerInterceptor。然后使用这个拦截器添加额外的HTTP头。
(You我已经可以在SO上找到很多关于HTTP请求拦截的问题)