#security #spring-security #content-security-policy
#Безопасность #spring-безопасность #контент-безопасность-политика
Вопрос:
Я хотел бы добавить CSP для frame-ancestors, чтобы проверки безопасности не жаловались на легковоспламеняющийся контент. Я хотел бы добавить CSP что-то вроде приведенного ниже.
public void configure(HttpSecurity http) throws Exception
{
http
.headers()
.contentSecurityPolicy("frame-ancestors https://*.*;")
;
}```
Once the application is loaded I got the below message in console.
```The source list for Content Security Policy directive 'frame-ancestors contains an invalid source: 'https://*.*.' It will be ignored.```
Комментарии:
1.
https://*.*имеет неправильный синтаксис.https:https://*Вместо этого используйте или.2. Кроме того, это не имеет особого смысла и не устраняет обычные угрозы, связанные с фреймом, поэтому сканирование, скорее всего, обнаружит это как проблему, по крайней мере, правильные.