10.0.102.0 CSP 设定

Levi.Zhang

因为公司资安政策的关系, 一定需要设定CSP

目前的测试下来, unsafe-inline 看起来是一定需要,
想和官方这边确认一下, 这个 unsafe-inline 是一定要加上去的对吗?
是否可以精准到 script / style / image 这3个开通unsafe-inline即可

另外, 如果活字格管理后台加了严格的CSP后, 会不会就永远无法登入了......
如果发生了有解救的办法吗

以下是我目前的设定

Referrer-Policy:same-origin
X-Content-Type-Options:nosniff
Cache-Control:no-store
Pragma:no-cache
Strict-Transport-Security:max-age=31536000;includeSubDomains;preload
permissions-policy:microphone=(none);geolocation=(none)
X-Frame-Options:SAMEORIGIN
X-XSS-Protection:0
Cross-Origin-Opener-Policy:same-origin
Cross-Origin-Resource-Policy:same-origin
Cross-Origin-Embedder-Policy:require-corp
Access-Control-Allow-Origin:https://*.xxxx.xxx.xxxx
Content-Security-Policy:default-src 'self' 'unsafe-inline'

Levi.Zhang · Levi.Zhang

本帖最后由 Levi.Zhang 于 2025-1-9 14:20 编辑

问题跟进：
大佬，这边调查了下，一个个回答您哈~
1.除了用测试应用验证，还有一种方法：可以在GlobalConfig.xml配置文件里修改具体配置哦，找到对应应用，搜索：HttpResponseHeader，修改具体配置哦：

2.unsafe-inline是必须加的，因为活字格是单页应用且支持插件，部分代码和浏览器元素的样式是通过 inline 的方式动态添加的

3.unsafe-inline 只需要给 script/style 添加即可，使用 Content-Security-Policy: default-src 'self' 'unsafe-inline' 即可

Levi.Zhang · Levi.Zhang

大佬，看您做了这么多安全配置；其实活字格10.1以后，活字格的能开启的默认安全设置都设置成更加高级的限制，保证应用更加安全。但是存在利弊的哦，更加的安全，代表很多的共享能力减弱；开放的配置，代表更加容易共享，但是更加开放安全性就低了。
具体的话可以在这里配置：

关于大佬担心的更加严格的CSP后登录不上的问题，这边建议大佬可以先用测试应用来配置，测试完全没问题后再上本应用哦~~~

ken_hung · ken_hung

Levi.Zhang 发表于 2025-1-8 15:12
大佬，看您做了这么多安全配置；其实活字格10.1以后，活字格的能开启的默认安全设置都设置成更加高级的限制 ...

就是想问问是否有其他的办法, 目前都是在测试环境做测试和扫描, 理论上测试环境的后台页面有问题,
就是花点时间重新安装

另外, 就是需要帮忙确认
使用活字格开发的应用是否可以精准到 script / style / image 这3个开通unsafe-inline即可
.....总公司的测试团队, 希望有官方来说明...一定需要unsafe-inline..他们才同意结案顺利部署到正式环境.....

Levi.Zhang · Levi.Zhang

明白了，大佬

ken_hung · ken_hung

Levi.Zhang 发表于 2025-1-9 14:19
问题跟进：
大佬，这边调查了下，一个个回答您哈~
1.除了用测试应用验证，还有一种方法：可以在GlobalCon ...

太感谢了!!!

Levi.Zhang · Levi.Zhang

不客气哈，感谢您对活字格的支持。
后面有问题，欢迎继续发新帖交流

		自动登录	找回密码
密码			立即注册

[已处理] 10.0.102.0 CSP 设定

最佳答案

6 个回复

本帖子中包含更多资源

本帖子中包含更多资源