极客观点
项目管理
HarmonyOS
假设一个 spring security 和 spring mvc 的工作 hello world 示例。
当我使用 wireshark 进行跟踪时,我在 http 请求中看到以下标志
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
Set-Cookie: JSESSIONID=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX; Path=/; Secure; HttpOnly
我想将此添加到我的标题中:
Content-Security-Policy: script-src 'self'
我知道 X-Frame-Options 的作用几乎相同,但它仍然让我睡得更好。现在我想我需要在我的 spring 安全配置的配置功能下完成它但是我不知道具体如何,即我想 .headers().something.something(self)
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// .csrf().disable()
// .headers().disable()
.authorizeRequests()
.antMatchers( "/register",
"/static/**",
"/h2/**",
"/resources/**",
"/resources/static/css/**",
"/resources/static/img/**" ,
"/resources/static/js/**",
"/resources/static/pdf/**"
).permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
原文由 Tito 发布,翻译遵循 CC BY-SA 4.0 许可协议
只需像这样使用 addHeaderWriter 方法:
请注意,一旦您指定了任何应该包含的标头,那么只会包含那些标头。
要包含默认标头,您可以执行以下操作:
可以参考 spring security文档。