在 Apache 2.2 上实现内容安全策略

在 Apache 2.2 上实现内容安全策略

在 Apache 2.2 上,我即将设置 Content-Security-Policy,以允许来自某个特定域的浏览器将数据加载到来自某个虚拟主机的 iframe 中。

$ httpd -S
VirtualHost configuration:
Syntax OK
$ httpd -S -v
Server version: Apache/2.2.15 (Unix)

我相信这个指令应该可以解决问题:

Header set Content-Security-Policy "default-src 'self'; frame-ancestors *.requestorsdomain.no"

问题:我应该将它插入到 httpd.conf 中的什么位置?我将其放在 httpd.conf 中,重启后它似乎在语法上被接受了。

httpd.conf:

<Directory "/app/httpd/html">  
    Header set Content-Security-Policy "default-src 'self'; frame-ancestors *.requestorsdomain.no"  
</Directory>  

允许 iframe 的特定虚拟服务器包含在 httpd.conf 的末尾,并传递到同一服务器上的 Jboss。

Include virtual.d/*.conf   
../virtual.d/rolf.conf:  
ProxyPass /rolf/ http://rolfhost:8080/rolf/  
ProxyPassReverse /rolf/ http://rolfhost:8080/rolf/   

此外,所有内容都位于 BlueCoat 反向代理之后,允许互联网传入。

因此,总结一下:它不起作用。客户端仍然无法加载到 iframe 中。可能是标头卡住了或未正确提供。如何正确执行?我是否也需要在 Blue Coat 中应用 CSP 传递?

谢谢您,非常感谢您的帮助。

相关内容