![](/img/trans.png)
[英]What is the correct way to load a script with the 'strict-dynamic' CSP directive?
[英]What to do to make GWT product Strict CSP Comapatible?
我在gwt中創建了一個Web應用程序,CSP Mitigator說,我在js中加載了很多eval語句和javascript uri,所以我的項目不是Strict CSP Compatible。
但在我的情況下的問題是,我用java編寫代碼,gwwt為我編寫js。
我還問過gwt社區,但是他們說在下一個gwt版本中,將涵蓋csp合規性。
但在此之前,有誰知道,我該如何解決這個漏洞。
已發布gwt 2.8.2,即csp合規性。
並非完全開箱即用,只是改進了gwt-2.8.2中的CSP支持。
例如,GWT編譯的js包括數據URL,例如data:image / gif; base64 ..並且會違反img-src'self';
在CSP中包含此類URL很尷尬。 更糟糕的是使用img-src'self'數據: 因為黑客可以在數據方案中注入任何東西。
這可以在模塊gwt.xml中關閉。 禁用數據:URL
<set-property name="ClientBundle.enableInlining" value="false" />
還存在未決的CSP問題,其中GWT代碼庫仍然使用在CSP聲明中需要不安全eval的eval。
此外,這是一個問題,因為它違反了CSP,因為eval不是特別安全,並且一些網站希望禁止其用於進一步保護其數據及其用戶。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.