Política de seguridad de contenido: ¿la configuración de la página bloqueó la carga de un recurso en sí mismo?

Tengo una aplicación web basada en Java que se ejecuta en Tomcat 6. Mi aplicación se ejecuta en el host local y en el puerto 9001.

Para hacer que mi aplicación sea más segura y reducir el riesgo de ataques XSS , agregué el encabezado Content-Security-Policy con el valor default-src * ‘insafe-inline’ ‘unsafe-eval’; script-src ‘self’ . Con esto quiero permitir que la aplicación web cargue los archivos JavaScript del mismo dominio.

Para otros recursos continúa cargando de la misma manera que antes sin este encabezado.

Pero estoy obteniendo el siguiente error

 Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src http://localhost:9001"). 

El encabezado Política de seguridad del contenido es una lista blanca de fonts confiables.

La lista default-src es la lista utilizada por todas las demás listas *-src . Si no está presente, el valor predeterminado es default-src: * que significa “todo el contenido está permitido desde cualquier lugar”, lo que no ofrece ninguna protección contra XSS.

Por lo tanto, debes comenzar con

  • default-src none , por lo que todo el contenido no se permite, o
  • default-src 'self' , por lo que solo se permite el contenido de su dominio.

Después de eso, otros *-src pueden reemplazarse según sea necesario. Por ejemplo, los siguientes fideicomisos auto para todo, excepto las imágenes, y las imágenes solo se permiten desde example.com (pero no desde ‘self’):

 default-src 'self'; img-src example.com; 

En su pregunta, especifica default-src * 'unsafe-inline' 'unsafe-eval'; que podría estar causando el problema ya que * ya implica 'unsafe-inline' y 'unsafe-eval' . Es como decir “permitir todo y permitir en línea y permitir la evaluación”.

También tenga en cuenta que CSP es compatible a través de X-Content-Security-Header en IE> = 8.

Fuentes:

Tratar:

 default-src * 'unsafe-inline' 'unsafe-eval';script-src 'self' 'unsafe-inline' 'unsafe-eval'