作为第三方审核的一部分,我公司的 Rails 应用程序被发现没有为默认
404.html
页面(或 Rails 公共文件夹中的任何其他默认静态页面)提供内容安全策略 (CSP) 标头。
我们想实现它,但我们找不到有关如何在 Rails 内的这些静态页面中实现 CSP 标头的资源。
rails 应用程序与 nginX WebServer 一起运行。
CSP 标头已正确添加到应用程序提供的所有非静态响应中(这是在 Rails 中配置的)。
所以问题:
经过一番研究,静态页面似乎可以添加元标记,这应该足以满足 CSP 审核的要求。
其他人询问 CSP 元标记与标头相比的安全性,此响应告诉我们它是标头的一个很好的替代方案。
因为这些静态页面不包含复杂的资源或脚本,所以将其添加到静态页面
head
块应该就足够了:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self';">