我有一个非常简单的Play控制器:
@Singleton
class Application @Inject()(cc: ControllerComponents) extends AbstractController(cc) {
def index = Action {
Ok(views.html.index(SharedMessages.itWorks))
.withHeaders("Content-Security-Policy" -> "script-src 'unsafe-eval'")
}
}
但是添加的标题将被忽略。呈现的页面中的“内容安全策略”是默认策略:
Content-Security-Policy: default-src 'self'
那是为什么?
答案 0 :(得分:1)
您是否启用了Play!的安全筛选器?在这种情况下,您必须在application.conf配置文件中设置CSP标头,而不是手动添加。
有关详细信息,请参见Play! SecurityHeaders。