SpringJavaWebApp头nosniff不适合js和css文件
我在tomcat上有一个标准的Spring MVC。在我的网上。xml文件我有以下内容:
<filter>
<filter-name>HTTP Header Security Filter</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
<init-param>
<param-name>hstsEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>hstsMaxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>hstsIncludeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>xssProtectionEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>blockContentTypeSniffingEnabled</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HTTP Header Security Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
当我在开发人员部分打开的情况下加载FF(78)上的任何页面时,我可以在标题中看到/home page load具有预期的X-Content-Type-Options=nosniff。然而,所有这些都是错误的。js和。主页加载的css文件在标题中没有
我做错了什么
编辑:我使用的是tomcat 8.5.42,所有文件都是通过tomcat交付的
共 (0) 个答案