Dra*_*lev 9 configuration playframework content-security-policy playframework-2.6
我对使用Play的内容安全策略有疑问!框架(2.6).
我已经为项目添加了一个外部库来绘制图表,javascript文件在项目中,图表渲染得很好.
我遇到的问题是我的控制台左右喷出错误.这是我不断得到的错误:
拒绝应用内联样式,因为它违反了以下内容安全策略指令:"style-src'self'".要么是'unsafe-inline'关键字,要么是哈希('sha256-GPjBVmsZjSEoackW5SF7HKgSHcUUBqf1/TJwOl3Co7Y ='),要么是nonce('nonce -...')来启用内联执行.
在搜索如何解决这个问题的过程中,我遇到了一些内容,例如在HTML中包含一个元标记,它在Play中没有做任何事情.我也尝试将ContentSecurityHeader放在application.conf中,如下所述:https: //www.playframework.com/documentation/2.6.x/SecurityHeaders 这也没用.在开发我的项目时,我也遇到了关于default-src'self'的错误,我认为它将是相同类型的修复,而且它与配置有关,我没有做对.
如果有人不得不做这种类型的配置,我会喜欢关于如何正确配置我的应用程序的一些指示.
提前致谢!
chi*_*him 12
为了允许来自cdn的图像,以下适用于我(播放版本2.6)
play.filters.headers.contentSecurityPolicy = "default-src 'self'; img-src 'self' https://my.img.cdn.com"
以下允许内联样式属性:
play.filters.headers.contentSecurityPolicy = "default-src 'self'; style-src 'self' 'unsafe-inline'"
但有一点需要注意:
禁止内联脚本是CSP提供的最大安全性胜利,禁止内联样式同样会增强您的应用程序.HTML5 Rocks - 内容安全政策(2017-11-18)
| 归档时间: |
|
| 查看次数: |
3301 次 |
| 最近记录: |