Content-Security-Policy ヘッダーの構成/実装について読んだところ、それを行う 2 つの方法に出くわしました。
この質問はこれと重複していないことに注意してください。このリンクよりも優れた解決策を探しています
(1)の欠点は、構成ファイルではなくコードを介して駆動されることです。オプション(2)の欠点は、100個のhtmlファイルがある場合、すべてのHTMLにこのタグを配置する必要があることです。(間違っていたら訂正してください) 私が探している解決策は、web.xml で構成でき、すべての html ファイルに適用できるものです。hereのように web.xml で X-Frame-Options を構成する場合に行う方法ですが、 web.xmlで Content-Security-Policy を構成する同様の方法はありませんか?
https://github.com/sourceclear/headlines (デッドリンク、これが私が見つけたすべてです: https://github.com/stevespringett/headlines )を使用してみましたか? 目標は、セキュリティ関連のヘッダーを、コードではなく構成の問題にすることです。
{
"XContentTypeConfig": {
"enabled": true
},
"XFrameOptionsConfig": {
"enabled": true,
"value":"DENY"
},
"XssProtectionConfig": {
"enabled": true
},
"HstsConfig": {
"enabled": true,
"includeSubdomains":true,
"maxAge":31536000
},
"CspConfig": {
"csp": {
"default-src":["'self'"]
},
"cspReportOnly":{}
},
... snip
}