Content-Security-Policy ヘッダーの統合

問題

  • 特定の外部リソースのみをフロントエンドにロードできるようにする CSP (コンテンツ セキュリティ ポリシー) HTTP ヘッダーを実装するにはどうすればよいですか? スクリーンショット__139_.png

Environment

  • Liferay DXP 7.2

解決策

  • CSP は現在、Liferay によって製品レベルでサポートされていません。
  • Liferay DXP とその前身である Liferay Portal EE は、インラインまたは eval 制限 CSP が実行時に適用されることを期待して設計されていません。 その結果、Liferay 製品は CSP と互換性がありません。
  • ただし、サードパーティのソリューションを適用したり、Web サーバーやテーマを介してカスタムの方法で CSP を実装 たりする可能性はあります。
  • 機能要求 がこの件について既に提起されており、現在それについて継続的な議論が行われていますが、主要な製品チームはまだこの機能に同意する必要があります. 彼らは基本的に多くのフロントエンド JS コードを書き直す必要があり、これには時間がかかります。

追加情報

  • "グローバル サービス チーム" と呼ばれる別のチャネルがあり、カスタマイズに関してさらに支援が必要な場合に備えています。
  • 機能リクエスト チケット。機能リクエストのドキュメントに記載されているように、これらのチケットは Liferay の将来のバージョンで新機能を実装するためのリクエストであり、新機能のタイムラインを決定するのは製品チームの裁量です。ライフレイに追加されました。
  • 要求が進行するにつれて、それを監視してチェックすることができます。 製品チームがリクエストを承認し、機能が実装されると、リクエストのステータスは '完了' に変わります。その後、チケットを送信してホットフィックスを探すことができます。 それまでの間、 [この問題に投票する] をクリックして、チケットをフォローし、この機能に投票することができます。
  • 特定のセキュリティ ヘッダーが Liferay DXP の HTTP リクエストとレスポンスに含まれない理由
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています