Play中的內容安全策略標題！框架

Question

我對使用Play的內容安全策略有疑問！框架（2.6）。

我已經將外部庫添加到繪製圖表的項目中，JavaScript文件在項目中並且圖表渲染正常。

我遇到的問題是我的控制檯左右噴出錯誤。這是我不斷收到錯誤：

拒絕，因爲它違反了以下 內容安全策略指令適用內嵌樣式：「風格的src‘自我’」。 '不安全內聯'關鍵字，散列 （'sha256-GPjBVmsZjSEoackW5SF7HKgSHcUUBqf1/TJwOl3Co7Y ='）或現成 （'nonce -...'）是啓用內聯執行所必需的。

在搜索如何解決這個問題時，我遇到了一些東西，比如在HTML中包含一個元標記，它在Play中沒有做任何事情。我也嘗試將ContentSecurityHeader放在application.conf中，如下所示： https://www.playframework.com/documentation/2.6.x/SecurityHeaders 這也沒有奏效。在開發我的項目時，我也遇到了有關default-src'self'的錯誤，我認爲它將是相同類型的修復程序，並且這與配置有關，但我沒有正確處理。

如果有人在我喜歡關於如何正確配置我的應用程序的指針之前必須做這種類型的配置。

在此先感謝！

Answer 1

加入這一行play.filters.disabled + =「play.filters.headers.SecurityHeadersFilter」到application.conf文件，這是對我的作品

Answer 2

爲了使圖像從CDN，下面的工作我（打版2.6）

play.filters.headers.contentSecurityPolicy = "default-src 'self'; img-src 'self' https://my.img.cdn.com" 

下允許內嵌樣式屬性：

play.filters.headers.contentSecurityPolicy = "default-src 'self'; style-src 'self' 'unsafe-inline'" 

然而有一個警告：

禁止嵌入式腳本是最大的安全性贏得CSP提供，並禁止內嵌樣式也變硬您的應用程序。 HTML5 Rocks - Content Security Policy (2017-11-18)