Pik*_*tav 6 c# asp.net-mvc iis-7 content-security-policy
例如 404Javascript.js 面临的问题的图像文件 我在现有的 ASP.NET MVC 项目中面临以下内容安全策略问题。
我们使用https://sitecheck.sucuri.net/来检查安全扫描
问题 - 安全标头
缺少 XSS 保护的安全标头。受影响的页面:
缺少安全标头以防止内容类型嗅探。受影响的页面:
缺少 Strict-Transport-Security 安全标头。受影响的页面:
显示默认服务器横幅。您的网站正在显示您的网络服务器默认横幅。受影响的页面:
https://www.example.com/404javascript.js
https://www.example.com/404testpage4525d2fdc
我们正在尝试使用具有以下配置的 Web 配置文件来解决该问题:
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="DENY" />
<add name="X-Xss-Protection" value="1; mode=block" />
<add name="X-Content-Type-Options" value="nosniff" />
<add name="Referrer-Policy" value="no-referrer" />
<add name="X-Permitted-Cross-Domain-Policies" value="none" />
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
<add name="Feature-Policy" value="accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'" />
</customHeaders>
<httpRuntime targetFramework="4.6.1" maxRequestLength="1048576"
requestValidationMode="4.0" executionTimeout="110"
enableVersionHeader="false" />
但更改配置后我们仍然面临同样的问题,请查看我们的流程中错误的地方或任何替代解决方案。
确保在 system.webserver 部分而不是 system.web 部分添加自定义标头标记。:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains"/>
<add name="X-XSS-Protection" value="1; mode=block" />
<add name="X-Content-Type-Options" value="nosniff" />
<add name="Content-Security-Policy" value="default-src 'self'; font-src *;img-src * data:; script-src *; style-src *;" />
<add name="Referrer-Policy" value="strict-origin" />
</customHeaders>
</httpProtocol>
</system.webServer>
完成 chnages 后重新启动 iis 服务器。
| 归档时间: |
|
| 查看次数: |
26266 次 |
| 最近记录: |