Я хочу ограничить внедрение стилей CSS в страницы jsp, установив style-src = 'self' в HttpSecurity.headers().contentSecurityPolicy(); Однако используемый мной jQuery пытается внедрить стили на страницу.
jquery-3.4.1.min.js:2 Отказано в применении встроенного стиля, поскольку он нарушает следующую директиву политики безопасности контента: «style-src 'self'». Для включения встроенного выполнения требуется либо ключевое слово unsafe-inline, либо хэш ('sha256-+PA1W6zRh5Oc60l8KTKpT7oxFVzjAUR9eAI5Pkr7MGE='), либо одноразовый номер ('nonce-...').
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
@Configuration
@EnableWebSecurity
@ComponentScan(basePackages = { "au.xyz.myproject" })
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers().contentSecurityPolicy("default-src 'none'; worker-src 'self'; connect-src 'self'; font-src 'self';" +
"img-src 'self'; media-src 'self'; object-src 'self'; script-src 'self'; style-src 'self'");
}
}
Как я могу включить политику безопасности содержимого style-src 'self' для стилей CSS при использовании jQuery?
