La función de la directiva de seguridad de contenido (CSP) reduce un gran número de vulnerabilidades de inserción de contenido, como la creación de scripts entre sitios (XSS), con directivas para los navegadores compatibles. Esta función está habilitada de forma predeterminada. Puede agregar entradas a locked.properties para reconfigurar las directivas.

Tabla 1. Propiedades CSP

Propiedad

Tipo de valor

Principal predeterminado

Otros valores predeterminados

enableCSP

true

false

true

n/a

content-security-policy

directives-list

default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:

portal=child-src 'self' blob:;default-src 'self';connect-src 'self' wss:;font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;object-src 'self' blob:;script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';frame-ancestors 'self'

x-frame-options

OFF

specification

deny

portal=sameorigin

x-content-type-options

OFF

specification

nosniff

n/a

x-xss-protection

OFF

specification

1; mode=block

n/a

Puede agregar propiedades CSP al archivo locked.properties. Propiedades CSP de ejemplo:

enableCSP = true
content-security-policy = default-src 'self';script-src 'self' data:
content-security-policy-portal = default-src 'self';frame-ancestors 'self'
x-frame-options = deny
x-frame-options-portal = sameorigin
x-xss-protection = 1; mode=block