Play中的内容安全策略标题！框架

Question

我对使用Play的内容安全策略有疑问！框架（2.6）。

我已经将外部库添加到绘制图表的项目中，JavaScript文件在项目中并且图表渲染正常。

我遇到的问题是我的控制台左右喷出错误。这是我不断收到错误：

拒绝，因为它违反了以下 内容安全策略指令适用内嵌样式：“风格的src‘自我’”。 '不安全内联'关键字，散列 （'sha256-GPjBVmsZjSEoackW5SF7HKgSHcUUBqf1/TJwOl3Co7Y ='）或现成 （'nonce -...'）是启用内联执行所必需的。

在搜索如何解决这个问题时，我遇到了一些东西，比如在HTML中包含一个元标记，它在Play中没有做任何事情。我也尝试将ContentSecurityHeader放在application.conf中，如下所示： https://www.playframework.com/documentation/2.6.x/SecurityHeaders 这也没有奏效。在开发我的项目时，我也遇到了有关default-src'self'的错误，我认为它将是相同类型的修复程序，并且这与配置有关，但我没有正确处理。

如果有人在我喜欢关于如何正确配置我的应用程序的指针之前必须做这种类型的配置。

在此先感谢！

Answer 1

加入这一行play.filters.disabled + =“play.filters.headers.SecurityHeadersFilter”到application.conf文件，这是对我的作品

Answer 2

为了使图像从CDN，下面的工作我（打版2.6）

play.filters.headers.contentSecurityPolicy = "default-src 'self'; img-src 'self' https://my.img.cdn.com" 

下允许内嵌样式属性：

play.filters.headers.contentSecurityPolicy = "default-src 'self'; style-src 'self' 'unsafe-inline'" 

然而有一个警告：

禁止嵌入式脚本是最大的安全性赢得CSP提供，并禁止内嵌样式也变硬您的应用程序。 HTML5 Rocks - Content Security Policy (2017-11-18)