作为第三方审计的一部分,我公司的rails应用程序被发现没有为默认的404.html页面(或rails公共文件夹中的任何其他默认静态页面)提供内容安全策略(CSP)头。
我们想实现它,但是我们找不到关于如何在Rails中的这些静态页面中实现CSP头的资源。
Rails应用程序运行在nginX WebServer上。
CSP头已经正确地添加到应用程序提供的所有非静态响应中(这在Rails中配置)。
所以问题是:
- 是在Rails还是nginx上进行配置?如果有,具体地点是哪里?
- 在这些静态页面上添加CSP头是否值得?
1条答案
按热度按时间vbopmzt11#
经过一些研究,似乎静态页面可以添加Meta标签,这应该足以符合CSP审计。
其他人询问CSP Meta标记与头文件相比的安全性,this response告诉我们它是头文件的一个很好的替代品。
由于这些静态页面不包含复杂的资源或脚本,因此将其添加到静态页面
head块中就足够了: