由于 JSF 和 Primefaces 组件会产生内联脚本,因此很难以最佳配置配置 CSP 标头。
由于 JSF 在设计上提供了 XSS 保护,是否可以完全不使用 CSP 或者对于 JSF+Primefaces 应用程序来说最佳的 CSP 值是多少?
此外,互联网上没有太多关于该主题的讨论/示例代码[1][2]。 JSF 和 Primefaces 不是计划提供更简单的 CSP 实现吗,因为它是“纵深防御”,强烈推荐的标头?
要启用它,您可以将以下上下文参数添加到 web.xml 中:
<context-param>
<param-name>primefaces.CSP</param-name>
<param-value>true</param-value>
在下一个链接中,您会发现非常简单的 PrimeFaces (PF) 项目,它“实现”了运行良好的 CSP。只需使用 PF v12、Java 11+ 并在 WildFly 等 EE 兼容应用程序服务器上执行即可。
https://github.com/primefaces/primefaces/issues/5641
快乐编码!