Col*_*ker 5 asp.net web-config managed http-headers content-security-policy
我在ASP.NET(Web 表单)网站的 web.config 中定义了一些自定义 HTTP 响应标头。
我正在尝试编写一个managed HTTP module可以在将这些web.config定义的标头发送回客户端之前修改它们的方法。不幸的是,无论我使用什么事件 (PreSendRequestHeaders, EndRequest) ,集合中web.config都不存在定义的标头Response.Headers。
我知道PreSendRequestHeaders不推荐这样做,所以我也尝试使用,Response.AddOnSendingHeaders但这也不能让我访问标题。
具体来说,我想要做的是为我们的Content Security Policy (CSP). 我想自动向所有内联脚本块添加一个 nonce 属性(我有一个可用的 POC),然后修改HTTP CSP header(在 web.config 中定义)以将“nonce-”项添加到该script-src部分。
我不想添加CSP headerin 代码,因为它经常更改,重新编译和发布网站会很痛苦。
我是否需要求助于本机IIS module来实现这一点,还是有某种方法可以使用托管代码(首选)来做到这一点?