Tomcat 内容安全策略未出现_Tomcat_Grails_Content Security Policy

Tomcat 内容安全策略未出现

tomcat grails

Tomcat 内容安全策略未出现,tomcat,grails,content-security-policy,Tomcat,Grails,Content Security Policy,我想将内容安全策略添加到我的项目中我看到这个帖子：我已将此插件安装到我的项目中：我在config.groovy中添加了以下行： grails.plugin.xframeoptions.urlPattern = '/project_name/*' grails.plugin.xframeoptions.deny = true grails.plugin.xframeoptions.sameOrigin = true grails.plugin.xframeoptions.enabled =

我想将内容安全策略添加到我的项目中

我看到这个帖子：

我已将此插件安装到我的项目中：

我在config.groovy中添加了以下行：

grails.plugin.xframeoptions.urlPattern = '/project_name/*'
grails.plugin.xframeoptions.deny = true
grails.plugin.xframeoptions.sameOrigin = true
grails.plugin.xframeoptions.enabled = true

我将这一行添加到main.gsp

<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-inline' 'unsafe-eval';">

但我在浏览器中看不到安全策略，如何在tomcat上执行或配置？Grails构建在Spring Boot之上。我认为您应该能够直接使用来管理CSP HTTP头（或元标记）。（我不知道该怎么做，因为我没有使用Grails的经验）

使用SpringSecurity也可以进行配置，因此不需要任何额外的X-Frame-Options插件

另外，如果您通过HTTP头发布CSP，您可以使用指令，它比过时的XFO头灵活得多，并覆盖XFO（2019年5月1日之前发布的浏览器除外）