• アプリケーションレスポンスで "Content security policy "ヘッダを利用できない。 CSPを追加または有効にする方法は？

• Liferay DXP 7.3

• Liferayは、CSPディレクティブを構成するためのOOTBコンフィギュレーションやUI設定が用意されていないため、CSPを直接サポートするものではありません。 一方、Liferayはサードパーティーの実装を適用する可能性を排除していません。
• したがって、お客様の独自の判断で、ウェブサーバーまたはテーマレベルで有効にすることができます。
• 詳しくは、以下の内示書をご覧ください。
  • コンテンツセキュリティポリシー（CSP）ヘッダーを、メタタグを使って有効にする手順について説明します。
  • コンテンツセキュリティポリシー（CSP） CSPの説明、様々なユースケースを例とした緩和ステップなど
  • Nginx における CSP Nonce サポート、 は、ウェブサーバ・レベルでの手順について説明しました。

注意：以下の手順と非公式リンクは、Liferay Supportの範囲を超えたカスタム実装のアイデアを含んでいます。 ご利用の際は、適切なご判断をお願いいたします。 Liferayからの実装アイデアに関するさらなる支援については、専用の グローバルサービスチームまでご連絡ください。 営業担当者は、GSチームとの接続性を発見し、詳細について知るための大きなリソースとなります。

• また、この件に関しては、 Feature Request と Epic のチケットが上がっており、Liferay DXPの将来のバージョンでCSPのサポートを製品レベルで追加する可能性を分析するための議論が続いています。
  • 余談ですが：
    • もし同じものを探しているのであれば、「Vote for this issue」をクリックして、機能リクエストに投票し、ウォッチすることをチームに推奨します。 詳しくは、 「新機能や機能改善のリクエスト」 をご覧ください。
    • しかし、正確な実装は製品チームの決定に依存し、製品チームがその機能を搭載することを計画した場合にのみ、新機能を将来のLiferayのリリースに追加することができます。
    • JIRAはVoteとWatchにHelpCenterとは異なるログインが必要で、自分で作成することができます。
• Liferay DXPのHTTPリクエストとレスポンスに特定のSecurity Headersが含まれない理由
• CSPヘッダー