Spring Security 在JHipster中设置内容安全策略

yhqotfr8  于 2023-06-29  发布在  Spring
关注(0)|答案(1)|浏览(144)

我有2个JHipster Sping Boot 应用程序。在dev中,A在localhost:8083上运行,B在localhost:8080上运行。
在应用程序A中,我添加了一个API控制器,当从Postman触发时,它可以正常工作。
在app B中,当一个Angular表单调用端点时,我看到:

polyfills.1266a5de5d4c3910.js:1 Refused to connect to 'http://www.localhost:8083/MYURL' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'connect-src' was not explicitly set, so 'default-src' is used as a fallback.

在www.example.com中SecurityConfiguration.java有:

@Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

在那里我替换了:

http
      .and()
          .headers() 
         .contentSecurityPolicy(jHipsterProperties.getSecurity().getContentSecurityPolicy())

http
      .and()
          .headers() 
          .contentSecurityPolicy("default-src *; connect-src *")

但是它给出了相同的误差。
我认为我的代码显式地设置了'connect-src'和'default-src'来接受任何内容-但不接受。这是正确的策略吗?我错过了什么?
meta数据:

  • JHipster:v7.9.3
  • Chrome缓存已清除
  • Java 11
  • Windows 11
j2datikz

j2datikz1#

您很可能定义了多个内容安全策略。检查你的回复头和 meta标签。你可能有一个默认策略“default-src 'self'”,它是由一个框架或Web服务器设置的,你需要禁用或修改它。再增加一项政策只能使其更加严格。

相关问题