Java 如何设置脚本src';自我'';不安全内联'';不安全评估;;样式src';自我'';不安全内联';对于play framework 2.6.x中的特定页面或路径?
我一直在尝试在我的web应用程序中设置文本编辑器。要访问文本编辑器,我必须允许脚本src“self”“unsafe inline”“unsafe eval”和样式src“unsafe inline”。但在PlayFramework2.6.x中,我必须将其设置为 配置文件中的play.filters.headers.contentSecurityPolicy使整个应用程序不安全 注意:meta标记不起作用,即使我试图通过过滤器在响应头中传递内容安全策略。什么都不管用Java 如何设置脚本src';自我'';不安全内联'';不安全评估;;样式src';自我'';不安全内联';对于play framework 2.6.x中的特定页面或路径?,java,scala,playframework,playframework-2.3,Java,Scala,Playframework,Playframework 2.3,我一直在尝试在我的web应用程序中设置文本编辑器。要访问文本编辑器,我必须允许脚本src“self”“unsafe inline”“unsafe eval”和样式src“unsafe inline”。但在PlayFramework2.6.x中,我必须将其设置为 配置文件中的play.filters.headers.contentSecurityPolicy使整个应用程序不安全 注意:meta标记不起作用,即使我试图通过过滤器在响应头中传递内容安全策略。什么都不管用 在这种情况下,有没有办法为pl
在这种情况下,有没有办法为play 2.6.x中的任何特定页面或路径设置脚本src“self”unsafe inline“unsafe eval”和样式src“unsafe inline” 播放2.7 在某个动作上,它看起来像:
Ok("Index").withHeaders(SecurityHeadersFilter.REFERRER_POLICY -> "my page-specific header")
检查文档:
但是,在《播放2.7》中,这是不推荐的-改用CSP-请参阅:
还可以(在同一文档上)从CSP筛选器中排除路由
,如:
+ nocsp
POST /report-to controllers.CSPReportController.report
下面是一个来自 播放2.7 在某个动作上,它看起来像:
Ok("Index").withHeaders(SecurityHeadersFilter.REFERRER_POLICY -> "my page-specific header")
检查文档:
但是,在《播放2.7》中,这是不推荐的-改用CSP-请参阅:
还可以(在同一文档上)从CSP筛选器中排除路由
,如:
+ nocsp
POST /report-to controllers.CSPReportController.report
我认为这将适用于应用程序的所有响应。有没有办法指定任何预期的响应?检查我的答案-我在播放2.6时找不到它。使用
+nocsrf
标记“从CSP过滤器中排除路由”?打字错误?@AndriiAbramov+nocsrf表示没有跨站点请求伪造筛选器,其中+nocsp表示Path上没有安全内容策略。我认为这将应用于应用程序的所有响应。有没有办法指定任何预期的响应?检查我的答案-我在播放2.6时找不到它。使用+nocsrf
标记“从CSP过滤器中排除路由”?打字错误?@AndriiAbramov+nocsrf表示没有跨站点请求伪造筛选器,其中+nocsp表示路径上没有安全内容策略