コンテンツ セキュリティ ポリシー (CSP) 機能は、準拠しているブラウザに対するポリシー ディレクティブを提供します。これにより、クロス サイト スクリプティング (XSS) などのコンテンツ インジェクションの脆弱性を回避できます。この機能は、デフォルトで有効になっています。locked.properties にエントリを追加すると、ポリシー ディレクティブを再設定できます。
| プロパティ | 値の種類 | プライマリのデフォルト値 | 他のデフォルト値 |
|---|---|---|---|
| enableCSP | true false |
true | n/a |
| content-security-policy | directives-list | default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data: ;frame-ancestors 'none' | admin=default-src 'self' https://feedback.esp.vmware.com;script-src https://feedback.esp.vmware.com https://lumos.vmware.com 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:;frame-ancestors 'none' portal=default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;connect-src 'self' wss:;frame-src 'self' blob:;child-src 'self' blob:;object-src 'self' blob:;frame-ancestors 'self' rest = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:;frame-ancestors 'none' |
| x-content-type-options | OFF specification |
nosniff | n/a |
| x-frame-options | OFF specification |
deny | portal = sameorigin |
| x-xss-protection | OFF specification |
1; mode=block | n/a |
CSP プロパティを
locked.properties ファイルに追加できます。CSP プロパティの例:
enableCSP = true content-security-policy = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data: content-security-policy-newadmin = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https: content-security-policy-portal = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;connect-src 'self' wss:;frame-src 'self' blob:;child-src 'self' blob:;object-src 'self' blob: x-content-type-options = nosniff x-frame-options = deny x-frame-options-portal = sameorigin x-xss-protection = 1; mode=block
