NC Cloud 安全配置文件解读

NCC--安全级别配置：

   目前NCC环境中可用户自定义开启加密，压缩，加签；配置跨域文件、XSS防御文件

配置跨域文件corsfilter.properties：

各参数含义：

// 服务器允许访问的源信息，可以提供逗号分隔的来源白名单例如：http：//www.w3.org、https：//www.apache.org

cors.allowed.origins= *

// 服务器允许访问的方法

cors.allowed.methods = GET,POST,OPTIONS,CONNECT

//  逗号分隔的请求标头列表，可在发出实际请求时使用。在在预检请求的响应中，这些表头也将作为“ Access-Control-Allow-Headers”标头的一部分返回。例如：Origin,Accept。 默认值： Origin，Accept，X-Requested-With，Content-Type，Access-Control-Request-Method，Access-Control-Request-Header

cors.allowed.headers =                 =Origin,Accept,X-Requested-With,Content-Type,Access-Control-Request-Method,Access-Control-Request-Headers

// 请求返回时前端可获取的响应头有哪些,除允许浏览器访问的简单响应表头外，标头以逗号分隔的列表。这些标头也将作为预检请求中“ Access-Control-Expose-Headers”表头的一部分包含在内。例如：X-CUSTOM-HEADER-PING，X-CUSTOM-HEADER-PONG，默认值为空；

cors.exposed.headers =

// 服务器允许访问的请求认证，对于cookies等是否发送与接收

cors.support.credentials = true

// 预检验请求两次发送的间隔的时间

cors.preflight.maxage = 2400

//一个标志，用于控制是否应装饰请求, 默认值：true

cors.request.decorate = true

XSS配置文件为：

    内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件，这些攻击都是主要的手段。

CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置

 默认为*，此时加载所有的资源;

例如：Content-Security-Policy=default-src  'self'  'unsafe-inline'  data: https:  'unsafe-eval'

Content-Security-Policy= *

请求上的效果：