我需要在IIS中为"Content-Security-Policy","X-Content-Type-Options"和"X-XSS-Protection"添加自定义标头.
我得到了添加这些标题的过程,但我不确定这些键的值应该是多少. https://technet.microsoft.com/pl-pl/library/cc753133(v=ws.10).aspx
http://content-security-policy.com/
请建议.谢谢
F. *_*n Q 20
从这篇文章中,您似乎可以直接在IIS配置文件中定义内容安全策略(并依次填充这些标题).链接帖子中给出的示例,
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self';" />
</customHeaders>
</httpProtocol>
</system.webServer>
演示了如何做到这一点; 在您的配置文件中,在该httpProtocol部分中,向customHeaders包含名称的集合添加一个条目(即"Content-Security-Policy",定义您希望实现的CSP的值.在给出的示例中,实现了一个非常简单的CSP,它只允许来自本地的资源self要加载的site().
您链接的第二个资源列出了您可以在其中使用的不同选项customHeader,以及它们的有效值示例.要记住的一件事是后续选项必须是;分离的,并且字符串必须以final结尾;.
一个古老的问题但是因为谷歌让你在这里...
我为CSP选项找到了一个很棒的"构建器":
https://report-uri.io/home/tools/
现在这似乎是一个"仅链接答案",但事实上,该链接是一个完全构建的CSP编辑器,您单击框,在CSP中选择您需要的网站,并为您配置CSP字符串(只需复制并将结果粘贴到Content-Security-Policy的标题中.我无法希望在此答案中复制功能因此链接.
打开Web应用程序安全项目(OWASP)在防止点击劫持下的内容安全策略备忘单上有几个内容安全策略示例和一些有用的链接:
要阻止您的内容的所有框架使用:
Run Code Online (Sandbox Code Playgroud)Content-Security-Policy: frame-ancestors 'none'要仅允许您的网站,请使用:
Run Code Online (Sandbox Code Playgroud)Content-Security-Policy: frame-ancestors 'self'要允许受信任的域(my-trusty-site.com),请执行以下操作:
Run Code Online (Sandbox Code Playgroud)Content-Security-Policy: frame-ancestors my-trusty-site.com
Mozilla Developers Network拥有Content-Security-Policy和X-ContentTypeOptions的完整语法和示例:
Run Code Online (Sandbox Code Playgroud)X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM https://example.com/ X-Content-Type-Options: nosniff
这是一个X-XSS-Protection示例:
Run Code Online (Sandbox Code Playgroud)X-XSS-Protection: 1; mode=block
根据脚本是本地还是使用外部 CDN 等,内容安全策略设置可能因站点而异。因此,为了尝试找出最适合您的应用程序的设置,您可以使用仅报告版本:
<add name="Content-Security-Policy-Report-Only" value="default-src 'self'" />
根据此博客条目:
通过添加此标头而不是
Content-Security-Policy,浏览器将在不允许某些内容时不断提示,但无论如何都允许它。这样,您在生产环境中运行网站时就可以密切关注控制台。当控制台中的所有错误消息都消失后,您可以切换回原始标头。
| 归档时间: |
|
| 查看次数: |
52636 次 |
| 最近记录: |