jenkins安全内容配置策略


有时我们使用HTML Publisher Plugin插件时,在jenkins点开html report,会发现没有带任何的css或js样式,这是因为Jenkins 1.641 / Jenkins 1.625.3将Content-Security-Policy标题引入了Jenkins 提供的静态文件(具体来说,DirectoryBrowserSupport)。此标题设置为非常限制的默认权限集,以保护Jenkins用户免受工作空间/userContent或归档工件中的恶意HTML / JS文件的干扰。默认的设置是:

默认规则设置为:

sandbox; default-src 'none'; img-src 'self'; style-src 'self';

 

此规则集导致以下内容:

  • 根本不允许JavaScript
  • 不允许插件(对象/嵌入)
  • 不允许内联CSS或其他网站的CSS
  • 没有允许来自其他网站的图片
  • 不允许帧
  • 不允许使用网络字体
  • 不允许XHR / AJAX
  • 等等

详细:

  • sandbox限制了页面可以执行的一些操作,类似于sandboxiframe上设置属性。有关禁止的完整列表,请参阅此网站该属性不被广泛支持。
  • default-src 'none' probihits加载脚本,AJAX / XHR / WebSockets / EventSources的URL,字体,插件对象,媒体和框架(图像和样式也将被禁止,但可以通过下面描述的更具体的规则进行)。
  • img-src 'self'允许加载由詹金斯提供的其他文件的图像。禁止内联图像定义。
  • style-src 'self'允许从Jenkins提供的其他文件加载样式表。禁止内联样式表。

请参阅content-security-policy.com以获取有关此标题及其可能值的引用。

 

所以需要我们在jenkins中做如下设置: 

确保将HTML Publisher Plugin更新到1.10版,以使其与内容安全策略配合使用

进入系统管理->脚本执行行->输入下面的命令:

System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "")

点击下面的运行按钮,不生效的话,多运行几次。

 

还可以做如下配置:

Set a custom value for the header:

System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "sandbox; default-src 'self';")

 

Unset the header:

System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "")

 

Set the header to the default:

System.clearProperty("hudson.model.DirectoryBrowserSupport.CSP")

 

Find out the current header value:

System.getProperty("hudson.model.DirectoryBrowserSupport.CSP")

 

更多信息参见官网介绍:

https://wiki.jenkins.io/display/JENKINS/Configuring+Content+Security+Policy

用浏览器翻译了一下,作为参考:


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM