Apache Tomcat の [6.0.35] クロスサイト防止フィルターを既存の Web アプリに導入しようとしています。
と タグを追加して web.xml を変更しました。アプリをデプロイして、マッピングで期待どおりに機能させることができます<url-pattern>*.jsp</url-pattern>。
しかし、<url-pattern>/*</url-pattern>orのマッピングを使用すると、マップされたリクエストに対してフィルターが明らかにアクティブになりますが、現在の nonce が request で渡されても<servlet-name>foo</servlet-name>、初期化されたエントリ ポイント以外のリソースに対するリクエストは拒否されます。つまり、応答は 403/禁止されています。
提案は誰ですか?