New Content Security Policy Filter

There is a new Content Security Policy filter available that supports CSP nonce and hashes for embedded content.

The previous setting of enabling CSP by default and setting it to default-src 'self' was too strict, and interfered with plugins. The CSP filter is not enabled by default, and the contentSecurityPolicy in the SecurityHeaders filter is now deprecated and set to null by default.

The CSP filter uses Google’s Strict CSP policy by default, which is a nonce based policy. It is recommended to use this as a starting point, and use the included CSPReport body parsers and actions to log CSP violations before enforcing CSP in production.

What's new in Play 2.7 - New Content Security Policy Filter

2.7より前は CSP のフィルターを設定する際は headers の filter で設定していたようだが、2.7からはCSPフィルターが独立したので、headersの方で設定するcontentSecurityPolicyは非推奨になっている模様。

正直、CSPがよく分かってないので、ちゃんと勉強しなきゃな。と思う。

CSPについては、googleが出しているものが勉強になりそう。

• Csp Filter - 2.8.x
• コンテンツ セキュリティ ポリシー