我的应用程序是一个SpringBoot(沿着嵌入式angular)应用程序。对于静态文件(图像,js文件等),我已经从Spring Security过滤器中排除了它们:
class SecConfig extends WebSecurityConfigurerAdapter {
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/**/*.js", "**/*.css", "/**/*.png");
}
}由于Spring Security过滤器不会拦截静态文件,因此安全头文件(如t-Transport-Security,X-XSS-Protection,Content-Security-Policy)不会应用于这些静态文件。
我的问题是应该为静态资源(图像,js文件)添加这样的安全头文件。如果我们不对静态文件应用这些安全头,应用程序是否容易受到安全攻击?
1条答案
按热度按时间e0uiprwp1#
我完全同意@ Toerktumplayer,你必须升级你的安全层到最新版本的
Spring Security,因为有很多变化,也有很多弃用和删除像WebSecurityConfigurerAdapter。有关它的更多详细信息,您可以在以下网站上找到:Migration Guide,
Spring-Security-Without-The-Websecurityconfigureradapter
关于
security for static resources的问题关于这个主题的更多细节,你可以在10938上找到,它是由Josh Cummings解释的,只是检查他对这张票的评论。
更新
关于Favor的一些细节全部忽略
更新
在我看来,这些头对于任何能够执行JavaScript的页面都是有意义的。