Spring Boot 3.x CSP 配置导致前端资源加载失败问题及解决

Spring Boot 3.x CSP 配置导致前端资源加载失败问题及解决 | 极客日志

Content-Security-Policy

Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self'".

Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self'".

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.headers(headers -> headers
            .contentSecurityPolicy(csp -> csp
                .policyDirectives("default-src 'self'; script-src 'self'; style-src 'self';")));
        return http.build();
    }
}

spring.security.headers.content-security-policy=default-src 'self'; script-src 'self'; style-src 'self';

Refused to load the script 'https://code.jquery.com/jquery-3.6.0.js' because it violates the following Content Security Policy directive: "script-src 'self'".

script-src 'self' https://code.jquery.com https://stackpath.bootstrapcdn.com; style-src 'self' https://fonts.googleapis.com https://use.fontawesome.com; font-src 'self' https://fonts.gstatic.com; img-src 'self' data: https://*.cloudfront.net;

script-src 'sha256-abc123...';

http.headers(headers -> headers
    .contentSecurityPolicy(csp -> csp
        .policyDirectives("script-src 'self' 'nonce-{random}';")));

connect-src 'self' https://api.example.com;

http.headers(headers -> headers
    .contentSecurityPolicy(csp -> csp
        .policyDirectives("default-src 'self'; script-src 'self'; report-uri /csp-report;")
        .reportOnly())); // 启用报告模式

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(auth -> auth.anyRequest().permitAll()) // 示例中开放所有请求
            .headers(headers -> headers
                .contentSecurityPolicy(csp -> csp
                    .policyDirectives("default-src 'self'; " +
                        "script-src 'self' 'nonce-{random}' https://code.jquery.com; " +
                        "style-src 'self' 'nonce-{random}' https://fonts.googleapis.com; " +
                        "font-src 'self' https://fonts.gstatic.com; " +
                        "img-src 'self' data:; " +
                        "connect-src 'self'; " +
                        "frame-ancestors 'none';")));
        return http.build();
    }
}

<script th:attr="nonce=${@cspNonce}" type="text/javascript">
// 内联脚本内容
console.log('This inline script is allowed by CSP nonce');
</script>
<style th:attr="nonce=${@cspNonce}">
/* 内联样式内容 */
body { background-color: #f0f0f0; }
</style>

@RestController
public class CspReportController {
    @PostMapping("/csp-report")
    public void receiveReport(@RequestBody String report) {
        // 记录报告，如写入日志
        log.warn("CSP violation: {}", report);
    }
}

Spring Boot 3.x CSP 配置导致前端资源加载失败问题及解决

Spring Boot 3.x CSP 配置导致前端资源加载失败问题及解决

引言

1. 问题表现：CSP 拦截的典型症状

2. 原因分析：CSP 指令与 Spring Boot 配置

2.1 CSP 指令概览

2.2 Spring Boot 3.x 中配置 CSP 的方式

2.3 常见的配置失误

3. 解决方案：从诊断到修复的完整步骤

3.1 步骤一：查看浏览器控制台错误

3.2 步骤二：整理资源来源清单

3.3 步骤三：调整 CSP 策略

3.3.1 允许外部域名

3.3.2 处理内联脚本和样式

3.3.3 处理 eval()

3.3.4 处理 API 连接

3.4 步骤四：使用报告模式（Report-Only）测试

3.5 步骤五：检查多策略冲突

3.6 步骤六：使用预设的安全标头库

4. 完整示例：Spring Boot 3.x 中配置 CSP 并处理内联脚本

4.1 依赖

4.2 安全配置

4.3 Thymeleaf 模板中使用 nonce

4.4 处理报告端点（可选）

5. 最佳实践总结

6. 结语

更多推荐文章

相关免费在线工具

Spring Boot 3.x CSP 配置导致前端资源加载失败问题及解决

Spring Boot 3.x CSP 配置导致前端资源加载失败问题及解决

引言

1. 问题表现：CSP 拦截的典型症状

2. 原因分析：CSP 指令与 Spring Boot 配置

2.1 CSP 指令概览

2.2 Spring Boot 3.x 中配置 CSP 的方式

2.3 常见的配置失误

3. 解决方案：从诊断到修复的完整步骤

3.1 步骤一：查看浏览器控制台错误

3.2 步骤二：整理资源来源清单

3.3 步骤三：调整 CSP 策略

3.3.1 允许外部域名

3.3.2 处理内联脚本和样式

3.3.3 处理 eval()

3.3.4 处理 API 连接

3.4 步骤四：使用报告模式（Report-Only）测试

3.5 步骤五：检查多策略冲突

3.6 步骤六：使用预设的安全标头库

4. 完整示例：Spring Boot 3.x 中配置 CSP 并处理内联脚本

4.1 依赖

4.2 安全配置

4.3 Thymeleaf 模板中使用 nonce

4.4 处理报告端点（可选）

5. 最佳实践总结

6. 结语

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具