[英]What to do to make GWT product Strict CSP Comapatible?
我在gwt中創建了一個Web應用程序,CSP Mitigator說,我在js中加載了很多eval語句和javascript uri,所以我的項目不是Strict CSP Compatible。
但在我的情況下的問題是,我用java編寫代碼,gwwt為我編寫js。
我還問過gwt社區,但是他們說在下一個gwt版本中,將涵蓋csp合規性。
但在此之前,有誰知道,我該如何解決這個漏洞。
已發布gwt 2.8.2,即csp合規性。
並非完全開箱即用,只是改進了gwt-2.8.2中的CSP支持。
例如,GWT編譯的js包括數據URL,例如data:image / gif; base64 ..並且會違反img-src'self';
在CSP中包含此類URL很尷尬。 更糟糕的是使用img-src'self'數據: 因為黑客可以在數據方案中注入任何東西。
這可以在模塊gwt.xml中關閉。 禁用數據:URL
<set-property name="ClientBundle.enableInlining" value="false" />
還存在未決的CSP問題,其中GWT代碼庫仍然使用在CSP聲明中需要不安全eval的eval。
此外,這是一個問題,因為它違反了CSP,因為eval不是特別安全,並且一些網站希望禁止其用於進一步保護其數據及其用戶。
使用'strict-dynamic'CSP指令加載腳本的正確方法是什么?
[英]What is the correct way to load a script with the 'strict-dynamic' CSP directive?
JS:什么是'這個'強制? use-strict與此有什么關系?
[英]JS: What is 'this' coercion? What does use-strict have to do with that?
“use strict”在 JavaScript 中做了什么,其背后的原因是什么?
[英]What does "use strict" do in JavaScript, and what is the reasoning behind it?
Chrome擴展程序通過嚴格的CSP將具有動態值的腳本注入頁面
[英]Chrome extension inject script with dynamic value into page with strict CSP
是否可以判斷 GWT 中是否啟用了 cookies? 如果不是什么原生 javascript 可以做到這一點?
[英]Is it possible to tell if cookies are enabled in GWT? If not what native javascript can do this?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
