Security 在游戏中设置HTTP头！框架web应用程序

我可以在哪里设置播放中的安全HTTP头！框架web应用程序项目？我想将标题如

X-Content-Type-Options

设置为

nosniff

，将

X-Frame-Options

设置为

DENY

我曾尝试在

nginx.conf

文件中设置这些头，但它不能与ZAP工具一起工作，因为ZAP工具在将这些头设置到该文件中后发出警告，表示这些头丢失

链接：

我已经在上的文档中尝试了该解决方案，但是包中没有类

SecurityHeadersFilter

---

我在玩！2.2.1和Java用于控制器。

如果您将nginx用作Play应用程序的反向代理，那么最好的方法可能是使用它。尝试在

服务器

块中添加头，而不是在nginx配置的

http

部分（根据）中添加头

server {
        listen 80;
        server_name *.something.com;

        location /stuff {
                alias ../;

                add_header X-Frame-Options deny; 
                add_header X-XSS-Protection "1; mode=block"; 
                add_header X-Content-Type-Options nosniff; 
                add_header X-Content-Security-Policy "default-src 'self'; script-src 'self' ssl.google-analytics.com; img-src 'self' ssl.google-analytics.com";
        }
        ...
}

导致正确设置标题：

使用，我可以验证标头设置是否正确。未设置

X-Frame-Options

标题时：

设置

X-Frame-Options

标题时：

---

升级到Play 2.3.1，并在playframework网站上遵循。请注意，升级到2.3。1与2.3一样必不可少。0包含一个需要解决的问题。

您的nginx配置是什么样子的

SecurityHeadersFilter

仅存在于我添加的以下http{add_header X-Frame-Options DENY；add_header X-XSS-Protection“1；mode=block”；add_header X-Content-Type-Options nosniff；add_header X-Content-Security-Policy“default src'self'；script src'self'；img src'self'”}是这样吗？我在nginx.conf文件的服务器块中添加了头设置，但这也不能正常工作。在PlayWeb应用程序中是否有其他方法设置这些头文件？因此，它将适用于应用程序中的所有网页。当您说“无法正常工作”时，是否意味着标题根本不存在？（你是如何测试的？）。您正在运行哪个版本的nginx？在进行配置后是否重新启动了nginx？如果您也使用

nginx.conf

文件的相关部分编辑了您的问题，这将非常有用。当我向nginx.conf文件添加标题并使用nginx限制应用程序时。我通过使用ZAP工具攻击应用程序来测试报头，然后ZAP工具显示未设置这些报头的警报。那么如何处理呢？我已经编辑了我的答案，以反映使用ZAP工具进行的测试。它对我有用。如果它对你仍然不起作用，你介意派人去做进一步的调查吗？