У меня есть очень простой игровой контроллер:
@Singleton
class Application @Inject()(cc: ControllerComponents) extends AbstractController(cc) {
def index = Action {
Ok(views.html.index(SharedMessages.itWorks))
.withHeaders("Content-Security-Policy" -> "script-src 'unsafe-eval'")
}
}
Но добавленный заголовок игнорируется. Политика безопасности контента на отображаемой странице является политикой по умолчанию:
Content-Security-Policy: default-src 'self'
Почему это?