Игровые рамки пользовательских заголовков игнорируются

Question

У меня есть очень простой игровой контроллер:

@Singleton
class Application @Inject()(cc: ControllerComponents) extends AbstractController(cc) {
  def index = Action {
    Ok(views.html.index(SharedMessages.itWorks))
      .withHeaders("Content-Security-Policy" -> "script-src 'unsafe-eval'")
  }
}

Но добавленный заголовок игнорируется. Политика безопасности контента на отображаемой странице является политикой по умолчанию:

Content-Security-Policy: default-src 'self'

Почему это?

Answer 1

У вас включен фильтр безопасности Play! В этом случае вам нужно установить заголовок CSP в файле конфигурации application.conf, а не добавлять его вручную.

См. Играть! SecurityHeaders для деталей.