CSP(컨텐츠 보안 정책) 기능은 규격 브라우저에 정책 지시문을 제공하여 XSS(사이트 간 스크립팅) 같은 다양한 클래스의 컨텐츠 주입 취약성을 완화합니다. 이 기능은 기본적으로 사용하도록 설정됩니다. locked.properties에 항목을 추가하여 정책 지시문을 재구성할 수 있습니다.
속성 | 값 유형 | 주요 기본값 | 기타 기본값 |
---|---|---|---|
enableCSP | true false |
true | n/a |
content-security-policy | directives-list | default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data: ;frame-ancestors 'none' | admin=default-src 'self' https://feedback.esp.vmware.com;script-src https://feedback.esp.vmware.com https://lumos.vmware.com 'unsafe-inline' 'unsafe-eval';style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:;frame-ancestors 'none’ portal=default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;connect-src 'self' wss:;frame-src 'self' blob:;child-src 'self' blob:;object-src 'self' blob:;frame-ancestors 'self' rest = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https:;frame-ancestors 'none' |
x-content-type-options | OFF specification |
nosniff | n/a |
x-frame-options | OFF specification |
deny | portal = sameorigin |
x-xss-protection | OFF specification |
1; mode=block | n/a |
CSP 속성을
locked.properties 파일에 추가할 수 있습니다. CSP 속성 예:
enableCSP = true content-security-policy = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data: content-security-policy-newadmin = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data:;connect-src 'self' https: content-security-policy-portal = default-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';font-src 'self' data:;img-src 'self' data: blob:;media-src 'self' blob:;connect-src 'self' wss:;frame-src 'self' blob:;child-src 'self' blob:;object-src 'self' blob: x-content-type-options = nosniff x-frame-options = deny x-frame-options-portal = sameorigin x-xss-protection = 1; mode=block