开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >问答首页 >在tomcat中配置内容-安全性-策略

问在tomcat中配置内容-安全性-策略
EN

Stack Overflow用户

提问于 2016-08-30 22:54:44

回答 2查看 36.2K关注 0票数 10

我读过关于配置/实现内容-安全性-策略头的文章，我想到了两种方法：

使用自定义筛选器实现这链接中给定的过滤器
使用元标签

请注意，这个问题不是这的重复，我正在寻找一个比在这链接中给出的更好的解决方案。

我看到了(1)的缺点是它是通过代码驱动的，而不是通过配置文件，选项(2)的缺点是如果我有100个HTML文件，我需要在每个html中放置这个标记吗？(如果我错了，请纠正我)我正在寻找的解决方案是我可以在web.xml中配置的，并且可以适用于所有的html文件。我们在web.xml中配置X帧选项的方式，比如给定的这里，我们不是有类似的方法在web.xml中配置内容-安全性-策略吗？

content-security-policy

EN

回答 2

Stack Overflow用户

发布于 2019-05-31 10:42:43

在web.xml中配置内容安全策略

您可以使用OWASP 这里提供的建议。它是一个web过滤器，您可以在后端实现。

然后，必须在web.xml文件中定义以下过滤器。这将在应用程序中的每个请求中被调用。在java中，您可以通过创建一个适当的类来做到这一点。

    <filter>
        <filter-name>ContentSecurityPolicy</filter-name>
        <filter-class>YourPackagePath.ContentSecurityPolicyFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>ContentSecurityPolicy</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

以上内容将在HTTP报头中实现以下内容安全策略的值

默认-src 'none'；样式-src 'self‘不安全-内联’脚本-src‘不安全’-内联‘不安全-eval’；img-src 'self'；框架-src 'self'；connect src 'self'；表单-动作'self'；反射-xss块。

票数 9

EN

Stack Overflow用户

发布于 2016-08-31 11:37:22

你试过使用https://github.com/sourceclear/headlines (死链接，这是我所能找到的全部：https://github.com/stevespringett/headlines)吗？它的目标是使与安全相关的标题成为配置问题，而不是像您要求的那样编写代码。

{
  "XContentTypeConfig": {
    "enabled": true
  },

  "XFrameOptionsConfig": {
    "enabled": true,
    "value":"DENY"
  },

  "XssProtectionConfig": {
    "enabled": true
  },

  "HstsConfig": {
    "enabled": true,
    "includeSubdomains":true,
    "maxAge":31536000
  },

  "CspConfig": {
    "csp": {
      "default-src":["'self'"]
    },
    "cspReportOnly":{}
  },

  ... snip
}

票数 3

EN

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/39242697

复制

相关文章

Spring Security配置内容安全策略

spring 内容安全应用安全开发 https http

在IDEA里集成阿里的https://start.aliyun.com，创建一个Spring Initializr项目：

SmileNicky

2022/05/13

1.7K0

Spring Security配置内容安全策略

Java 在IDEA社区版中配置Tomcat并使用

https 网络安全 ide tomcat maven

配置 Tomcat：https://blog.csdn.net/weixin_44953227/article/details/111575409

全栈程序员站长

2022/11/09

13K2

Java 在IDEA社区版中配置Tomcat并使用

idea安装配置tomcat_eclipse中配置tomcat

tomcat ide https 网络安全

我看到很多博文介绍使用maven配置tomcat，那种方法我没有尝试，不过社区版其实是有tomcat的->Smart Tomcat。

全栈程序员站长

2022/11/09

7030

idea安装配置tomcat_eclipse中配置tomcat

在应用中嵌入Tomcat

tomcat java 开源 apache servlet

很多 Java web 应用和服务，包括开源的和商业化的（比如 Alfresco, iRise, Confluence等），都倾向于将 Apache Tomcat Servlet 引擎整个嵌入到他们的分发包中。Atlatisan公司甚至只支持他们自己提供的嵌入式Tomcat 包，不再提供 WAR/EAR 形式的分发包。这些安装包包含了整个 Tomcat 引擎和配置文件，看起来确实有点大材小用。在大多数配置中，默认的配置文件甚至从来不会变动。真的有办法可以在代码中启动 Tomcat 并且只需要 tomcat 的 jar 文件作为依赖么？在下面的教程中，我们将会对 Jetty （Jetty 是一个为此目的而设计的一种嵌入式 servlet 引擎）进行测试，同时还会展示如何将 Jetty 迁移到 Tomcat 。

哲洛不闹

2018/09/18

2.3K0

Tomcat在idea中乱码

我们在idea中刚开始运行Tomcat时，会发现日志打印出来的是乱码的，这个问题理论上不需要去理会，我们一般都不去看，但是也有人会受不了，那么我们就去修改一下这个日志输出的编码即可

乐心湖

2020/07/31

9140

IntelliJ 中如何配置 Tomcat 调试

在弹出的添加页面中选择添加 Tomcat，你可以选择添加本地的，你也可以选择添加远程的。

HoneyMoose

2023/08/28

3230

IntelliJ 中如何配置 Tomcat 调试

在Linux系统中安装Tomcat

tomcat jdk apache linux bash

可以删除里面的内容自己上传自己的网站到这个目录下，通过服务器访问。记得开启服务器端口号

咕咕星

2020/08/19

3.3K0

在Linux系统中安装Tomcat

Nginx配置java项目在Tomcat下访问

nginx tomcat java

重启tomcat，nginx。其实Nginx一般是不用重启的，它可以通过与-s参数调用可执行来控制

兮动人

2021/06/11

1.2K0

Nginx配置java项目在Tomcat下访问

在centOS使用systemctl配置启动多个tomcat

公司服务器使用的是阿里云CentOS7，CentOS7和CentOS6目前最大区别就是service变成了现在的systemctl，简单的查了一下并结合使用，发现systemctl功能上等同于6上面的service+chkconfig，也就是说配置service与设置开机启动都是使用systemctl。

陈灬大灬海

2018/12/24

2K0

tomcat 网站 bash bash 指令 xml

Tomcat是轻量级的Web应用服务器，可以从官网http://tomcat.apache.org下载最新的Tomcat服务器版本。下载完成后直接解压Tomcat文件到指定的目录下。

Tacc

2022/05/05

9300

详解在Linux系统中安装Tomcat

jdk tomcat linux apache http

本文以在CentOS 7.6中安装Tomcat8.5为例进行安装，其他系统和版本都是大同小异的。

万猫学社

2022/04/22

2K0

详解在Linux系统中安装Tomcat

http tomcat html 腾讯云测试服务

配置为服务(windows) service.bat install tomcat7 tomcat7为配置成的服务名，可自定义内存配置-绿色版（catalina.bat）在开始添加 set JAVA_OPTS=-Xms256m -Xmx512m -Xss256K -XX:PermSize=64m -XX:MaxPermSize=128m 内存配置-安装版在java选项卡的Java Options中添加 -XX:PermSize=64M -XX:MaxPermSize=128M -XX:Rese

码客说

2019/10/22

1.4K0

Tomcat配置域名_tomcat nginx

xml tomcat html https jsp

第四步：在Tomact中的Server.xml中添加这个空项目的路径即可。修改如下：

全栈程序员站长

2022/11/10

3.7K0

Tomcat在RedHat Linux上的安装与配置

网站 tomcat xml java https

以下使用的Linux版本为: RedHat Enterprise Linux 7.0 x86_64，Tomcat版本为tomcat-7.0.54.

星哥玩云

2022/07/03

2K0

在Kubernetes 中实施审计策略

审计策略会检查 Kubernetes 集群中发生的所有请求、响应。本文介绍了在 Kubernetes 中实施审计策略的相关信息和实践。

CNCF

2021/07/07

6600

策略模式在应用中的实践

编程算法 github git 开源

行为模式有一种模式叫策略模式（Strategy Pattern），一个类的行为或其算法可以在运行时更改。在策略模式中，我们创建表示各种策略的对象和一个行为随着策略对象改变而改变的 context 对象。策略对象改变 context 对象的执行算法。

coderidea

2022/06/08

6780

配置Tomcat监听80端口，配置Tomcat虚拟主机，Tomcat日志

配置Tomcat监听80端口： vim /usr/local/tomcat/conf/server.xml =编辑Tomcat配置文件 Connector po

叶瑾

2018/06/14

1.5K0

Tomcat在SpringBoot中是如何启动的

tomcat 容器 servlet java 网站

我们知道SpringBoot给我们带来了一个全新的开发体验，我们可以直接把web程序达成jar包，直接启动，这就得益于SpringBoot内置了容器，可以直接启动，本文将以Tomcat为例，来看看SpringBoot是如何启动Tomcat的，同时也将展开学习下Tomcat的源码，了解Tomcat的设计。

macrozheng

2019/09/27

1.6K0

Tomcat在SpringBoot中是如何启动的？

tomcat 容器 servlet java 网站

我们知道SpringBoot给我们带来了一个全新的开发体验，我们可以直接把web程序打成jar包，直接启动，这就得益于SpringBoot内置了容器，可以直接启动，本文将以Tomcat为例，来看看SpringBoot是如何启动Tomcat的，同时也将展开学习下Tomcat的源码，了解Tomcat的设计。

挨踢小子部落阁

2019/10/14

1.5K0

Tomcat在SpringBoot中是如何启动的？

LinkedIn的内容交付策略

cdn api http dns DevOps 解决方案

本文来自Content Delivery Summit 2020的演讲，演讲者是来自LinkedIn的Bhaskar Bhowmik，演讲的主要内容是LinkedIn的内容交付策略。

用户1324186

2020/10/21

5400

相似问题

内容-安全性-策略问题

13

内容-安全性-通配符策略

12

重置内容-安全性- Wordpress策略

18

内容-安全性-策略:默认-src*

11

内容-安全性-策略+框架-祖先

16

添加站长进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例