![](/img/trans.png)
[英]What is the correct way to load a script with the 'strict-dynamic' CSP directive?
[英]What to do to make GWT product Strict CSP Comapatible?
我在gwt中创建了一个Web应用程序,CSP Mitigator说,我在js中加载了很多eval语句和javascript uri,所以我的项目不是Strict CSP Compatible。
但在我的情况下的问题是,我用java编写代码,gwwt为我编写js。
我还问过gwt社区,但是他们说在下一个gwt版本中,将涵盖csp合规性。
但在此之前,有谁知道,我该如何解决这个漏洞。
已发布gwt 2.8.2,即csp合规性。
并非完全开箱即用,只是改进了gwt-2.8.2中的CSP支持。
例如,GWT编译的js包括数据URL,例如data:image / gif; base64 ..并且会违反img-src'self';
在CSP中包含此类URL很尴尬。 更糟糕的是使用img-src'self'数据: 因为黑客可以在数据方案中注入任何东西。
这可以在模块gwt.xml中关闭。 禁用数据:URL
<set-property name="ClientBundle.enableInlining" value="false" />
还存在未决的CSP问题,其中GWT代码库仍然使用在CSP声明中需要不安全eval的eval。
此外,这是一个问题,因为它违反了CSP,因为eval不是特别安全,并且一些网站希望禁止其用于进一步保护其数据及其用户。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.