版本:faces 2.2 Faces JavaScript 库 Mojarra Faces 4.0.7
我在 web.xml 上启用了 Primefaces.CSP。并将 nonce-s 生成到 js。
我发现一些 xhtml 中 faces.js 违反了 (unsafe-inline)
拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src‘self’
if (!!script) {
var scriptNode = document.createElement("script");
scriptNode.type = "text/javascript";
scriptNode.text = script;
head.appendChild(scriptNode); //this violates
head.removeChild(scriptNode)
}
如何安全地同时使用 Primefaces.CSP 和 faces.js?