使用内容安全策略避免内联 java 脚本
Use content security policy to avoid inline java script
我有一个用例,我从 NGINX 服务器提供我的 React 应用程序代码,它通过 post 调用以 JSON 格式从 apache 服务器获取数据。
在此,我在我的 JSON 数据中获取一些内容,REACT 应用程序将呈现为工具提示,并且可以在其中包含 HTML。
此工具提示内容被视为用户的输入,存在注入一些内联 java 脚本代码的漏洞。因为有多个地方(也有一些非 UI 端点)可以注入此类数据,所以我不想在我的 apache 服务器上清理输入数据。
为了处理此漏洞,我计划通过设置 header
使用 内容安全策略
Content-Security-Policy: default-src 'self'; script-src 'self' *.mydomain.com
我不确定在哪里设置这个 header。在为我的 React 应用程序服务 bundle.js 之前,我应该将它设置为来自我的 apache 服务器的响应还是在我的 NGINX 服务器中?
需要将 header 应用于包含表示页面的 HTML 文档的响应。
我有一个用例,我从 NGINX 服务器提供我的 React 应用程序代码,它通过 post 调用以 JSON 格式从 apache 服务器获取数据。
在此,我在我的 JSON 数据中获取一些内容,REACT 应用程序将呈现为工具提示,并且可以在其中包含 HTML。
此工具提示内容被视为用户的输入,存在注入一些内联 java 脚本代码的漏洞。因为有多个地方(也有一些非 UI 端点)可以注入此类数据,所以我不想在我的 apache 服务器上清理输入数据。
为了处理此漏洞,我计划通过设置 header
使用 内容安全策略Content-Security-Policy: default-src 'self'; script-src 'self' *.mydomain.com
我不确定在哪里设置这个 header。在为我的 React 应用程序服务 bundle.js 之前,我应该将它设置为来自我的 apache 服务器的响应还是在我的 NGINX 服务器中?
需要将 header 应用于包含表示页面的 HTML 文档的响应。