security_headers.rb revision 5340b43bc256d75f69412e4852d3ed1018439d5b
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen::SecureHeaders::Configuration.configure do |config|
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen config.hsts = {:max_age => 99, :include_subdomains => true}
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen config.x_frame_options = 'DENY'
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen config.x_content_type_options = "nosniff"
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen config.x_xss_protection = {:value => 1, :mode => false}
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen # By default, load resources only from own origin.
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen # For CSS, allow styles from style elements and attributes for GWT.
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen config.csp = {
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen default_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen style_src: "'self' 'unsafe-inline'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen script_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen frame_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen img_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen connect_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen font_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen media_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen object_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen child_src: "'self'",
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen disable_chrome_extension: true,
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen }
eb11fe3584b7b243fb0641da4ab2e157610bb767Lubos Koscoend
ca13a2073cb9936daab594cd277550783ac2e6b6Knut Anders Hatlen