我有一个非常简单的Play控制器:
@Singleton
class Application @Inject()(cc: ControllerComponents) extends AbstractController(cc) {
def index = Action {
Ok(views.html.index(SharedMessages.itWorks))
.withHeaders("Content-Security-Policy" -> "script-src 'unsafe-eval'")
}
}
但是添加的标题将被忽略。呈现页面中的内容安全策略是默认策略:
Content-Security-Policy: default-src 'self'
这是为什么?
您是否启用了Play!的安全筛选器?在这种情况下,您必须在application.conf
配置文件中设置CSP标头,而不是手动添加它。
请参阅播放!有关详细信息,请参阅SecurityHeader。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句