我有2个JHipster Sping Boot 应用程序。在dev中,A在localhost:8083上运行,B在localhost:8080上运行。
在应用程序A中,我添加了一个API控制器,当从Postman触发时,它可以正常工作。
在app B中,当一个Angular表单调用端点时,我看到:
polyfills.1266a5de5d4c3910.js:1 Refused to connect to 'http://www.localhost:8083/MYURL' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'connect-src' was not explicitly set, so 'default-src' is used as a fallback.
在www.example.com中SecurityConfiguration.java有:
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
在那里我替换了:
http
.and()
.headers()
.contentSecurityPolicy(jHipsterProperties.getSecurity().getContentSecurityPolicy())
与
http
.and()
.headers()
.contentSecurityPolicy("default-src *; connect-src *")
但是它给出了相同的误差。
我认为我的代码显式地设置了'connect-src'和'default-src'来接受任何内容-但不接受。这是正确的策略吗?我错过了什么?
meta数据:
- JHipster:v7.9.3
- Chrome缓存已清除
- Java 11
- Windows 11
1条答案
按热度按时间j2datikz1#
您很可能定义了多个内容安全策略。检查你的回复头和 meta标签。你可能有一个默认策略“default-src 'self'”,它是由一个框架或Web服务器设置的,你需要禁用或修改它。再增加一项政策只能使其更加严格。