Security 在游戏中设置HTTP头!框架web应用程序
我可以在哪里设置播放中的安全HTTP头!框架web应用程序项目?我想将标题如Security 在游戏中设置HTTP头!框架web应用程序,security,nginx,http-headers,playframework-2.1,owasp,Security,Nginx,Http Headers,Playframework 2.1,Owasp,我可以在哪里设置播放中的安全HTTP头!框架web应用程序项目?我想将标题如X-Content-Type-Options设置为nosniff,将X-Frame-Options设置为DENY 我曾尝试在nginx.conf文件中设置这些头,但它不能与ZAP工具一起工作,因为ZAP工具在将这些头设置到该文件中后发出警告,表示这些头丢失 链接: 我已经在上的文档中尝试了该解决方案,但是包中没有类SecurityHeadersFilter 我在玩!2.2.1和Java用于控制器。如果您将nginx用作P
X-Content-Type-Options
设置为nosniff
,将X-Frame-Options
设置为DENY
我曾尝试在nginx.conf
文件中设置这些头,但它不能与ZAP工具一起工作,因为ZAP工具在将这些头设置到该文件中后发出警告,表示这些头丢失
链接:
我已经在上的文档中尝试了该解决方案,但是包中没有类SecurityHeadersFilter
我在玩!2.2.1和Java用于控制器。如果您将nginx用作Play应用程序的反向代理,那么最好的方法可能是使用它。尝试在
服务器
块中添加头,而不是在nginx配置的http
部分(根据)中添加头
server {
listen 80;
server_name *.something.com;
location /stuff {
alias ../;
add_header X-Frame-Options deny;
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
add_header X-Content-Security-Policy "default-src 'self'; script-src 'self' ssl.google-analytics.com; img-src 'self' ssl.google-analytics.com";
}
...
}
导致正确设置标题:
使用,我可以验证标头设置是否正确。未设置X-Frame-Options
标题时:
设置X-Frame-Options
标题时:
升级到Play 2.3.1,并在playframework网站上遵循。请注意,升级到2.3。1与2.3一样必不可少。0包含一个需要解决的问题。您的nginx配置是什么样子的
SecurityHeadersFilter
仅存在于我添加的以下http{add_header X-Frame-Options DENY;add_header X-XSS-Protection“1;mode=block”;add_header X-Content-Type-Options nosniff;add_header X-Content-Security-Policy“default src'self';script src'self';img src'self'”}是这样吗?我在nginx.conf文件的服务器块中添加了头设置,但这也不能正常工作。在PlayWeb应用程序中是否有其他方法设置这些头文件?因此,它将适用于应用程序中的所有网页。当您说“无法正常工作”时,是否意味着标题根本不存在?(你是如何测试的?)。您正在运行哪个版本的nginx?在进行配置后是否重新启动了nginx?如果您也使用nginx.conf
文件的相关部分编辑了您的问题,这将非常有用。当我向nginx.conf文件添加标题并使用nginx限制应用程序时。我通过使用ZAP工具攻击应用程序来测试报头,然后ZAP工具显示未设置这些报头的警报。那么如何处理呢?我已经编辑了我的答案,以反映使用ZAP工具进行的测试。它对我有用。如果它对你仍然不起作用,你介意派人去做进一步的调查吗?