Question

iServer11i扫描出漏洞：Content-Security-Policy响应头缺失，如何解决？

Answer 1

【解决办法】1）下载jar包，地址：https://repo1.maven.org/maven2/org/javastack/headers-servlet-filter/1.0.0/headers-servlet-filter-1.0.0.jar 2）把下载好的jar包放到 “iServer包路径webappsiserverWEB-INFlib” 文件夹下 3）修改：“iServer包路径webappsiserverWEB-INFweb.xml” 配置，将以下配置放置于httpHeaderSecurity之后： ResponseHeadersFilter org.javastack.servlet.filters.ResponseHeadersFilter Content-Security-Policy <!--可解决 检测到目标Content-Security-Policy响应头缺失 的问题--> default-src 'self' 'unsafe-inline' 'unsafe-eval' data: <!-- value可以配置为"指令1 指令值1 指令值2;指令2 指令值1 指令值2"的形式， 指令有default-src、script-src、style-src等，指令值描述了特定类型资源的加载策略， 具体用法可参考 https://sysin.org/blog/security-headers/#3-Content-Security-Policy%EF%BC%88CSP%EF%BC%89 -->