[英]What to do to make GWT product Strict CSP Comapatible?
我在gwt中创建了一个Web应用程序,CSP Mitigator说,我在js中加载了很多eval语句和javascript uri,所以我的项目不是Strict CSP Compatible。
但在我的情况下的问题是,我用java编写代码,gwwt为我编写js。
我还问过gwt社区,但是他们说在下一个gwt版本中,将涵盖csp合规性。
但在此之前,有谁知道,我该如何解决这个漏洞。
已发布gwt 2.8.2,即csp合规性。
并非完全开箱即用,只是改进了gwt-2.8.2中的CSP支持。
例如,GWT编译的js包括数据URL,例如data:image / gif; base64 ..并且会违反img-src'self';
在CSP中包含此类URL很尴尬。 更糟糕的是使用img-src'self'数据: 因为黑客可以在数据方案中注入任何东西。
这可以在模块gwt.xml中关闭。 禁用数据:URL
<set-property name="ClientBundle.enableInlining" value="false" />
还存在未决的CSP问题,其中GWT代码库仍然使用在CSP声明中需要不安全eval的eval。
此外,这是一个问题,因为它违反了CSP,因为eval不是特别安全,并且一些网站希望禁止其用于进一步保护其数据及其用户。
使用'strict-dynamic'CSP指令加载脚本的正确方法是什么?
[英]What is the correct way to load a script with the 'strict-dynamic' CSP directive?
JS:什么是'这个'强制? use-strict与此有什么关系?
[英]JS: What is 'this' coercion? What does use-strict have to do with that?
“use strict”在 JavaScript 中做了什么,其背后的原因是什么?
[英]What does "use strict" do in JavaScript, and what is the reasoning behind it?
Chrome扩展程序通过严格的CSP将具有动态值的脚本注入页面
[英]Chrome extension inject script with dynamic value into page with strict CSP
是否可以判断 GWT 中是否启用了 cookies? 如果不是什么原生 javascript 可以做到这一点?
[英]Is it possible to tell if cookies are enabled in GWT? If not what native javascript can do this?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
