Я хочу ограничить внедрение стилей CSS в страницы jsp, установив style-src = 'self'
в HttpSecurity.headers().contentSecurityPolicy();
Однако jQuery, который я использую, пытается внедрить стили в страницу.
jquery-3.4.1.min.js: 2 Отказался от применения встроенного стиля, потому что он
нарушает следующую директиву политики безопасности содержимого: "style-src
'self' ". Либо ключевое слово unsafe-inline, хеш
('sha256- + PA1W6zRh5Oc60l8KTKpT7oxFVzjAUR9eAI5Pkr7MGE =') или одноразовый номер
('nonce -...') требуется для включения встроенного выполнения.
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
@Configuration
@EnableWebSecurity
@ComponentScan(basePackages = { "au.xyz.myproject" })
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers().contentSecurityPolicy("default-src 'none'; worker-src 'self'; connect-src 'self'; font-src 'self';" +
"img-src 'self'; media-src 'self'; object-src 'self'; script-src 'self'; style-src 'self'");
}
}
Как мне включить Content Security Policy style-src 'self' для стилей CSS при использовании jQuery?