在Play中設置HTTP標頭! 框架Web應用程序
[英]Setting HTTP headers in a Play! framework web application
問題描述
在Play的哪里可以設置安全HTTP標頭! 框架Web應用程序項目? 我想將諸如X-Content-Type-Options標頭設置為nosniff ,將X-Frame-Options標頭設置為DENY 。
我試圖在nginx.conf文件中設置這些標頭,但是它不能與ZAP工具一起使用,因為ZAP工具會在將其設置到此文件后發出警告,告知這些標頭丟失。
鏈接: https : //github.com/playframework/playframework/pull/2524
我已經在配置安全標頭的文檔中嘗試了該解決方案,但是該軟件包中沒有提供SecurityHeadersFilter類。
我正在使用Play! 2.2.1和Java用於控制器。
2 個解決方案
解決方案1
0 2014-06-30 08:59:54
如果您將nginx用作Play應用的反向代理,則最好的方法是使用nginx 。 與其在您的nginx配置的http部分(按照您的注釋 )中添加標題,不如嘗試將其添加到server塊中。
server {
listen 80;
server_name *.something.com;
location /stuff {
alias ../;
add_header X-Frame-Options deny;
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
add_header X-Content-Security-Policy "default-src 'self'; script-src 'self' ssl.google-analytics.com; img-src 'self' ssl.google-analytics.com";
}
...
}
導致標題設置正確:
使用OWASP ZAP工具,我可以驗證標頭設置正確。 沒有設置X-Frame-Options標頭:
當X-Frame-Options報頭設置 :
解決方案2
0 2014-07-16 15:50:51
Play-Framework 2.3.x:如何保護Play-Framework應用程序URL
[英]Play-Framework 2.3.x: How to secure play-framework application URL
如何驗證請求標頭是否由特定 Web 應用程序添加
[英]How to Verify Whether Request Headers were Added by a Specific Web Application
AWS 上的 Zend Framework/Server 是 web 應用程序身份驗證/授權的安全選項嗎
[英]Is Zend Framework/Server on AWS a secure option for web application authentication/authorization
AntiXSS in .NET Framework 4.7 web 應用-如何應用
[英]AntiXSS in .NET Framework 4.7 web application - how to apply it
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.