那些遇到过的问题

.net core 3.1 中默认激活 CSP(内容安全策略)吗?

Ala*_*hly 4 .net asp.net-core asp.net-core-3.1

.net core 3.1 中默认激活 CSP(内容安全策略)吗?还是需要在启动时手动添加?

抱歉,如果以前曾在这里问过这个问题,但我似乎找不到答案

Str*_*ior 9

该框架无法知道哪种特定内容策略适合您的应用程序,因此它无法默认添加策略。您需要自己添加一个。

使用中间件,这是相当简单的。例如,您可以设置一个委托:

app.Use(async (context, next) =>
{
    context.Response.Headers.Add("Content-Security-Policy", "...");
    await next();
});
Run Code Online (Sandbox Code Playgroud)

但不要让它的简单性欺骗了您。深思熟虑:在具体决定使用哪些内容安全策略以及何时应用它时,您需要考虑几件事。https例如,在您的开发环境中,您可能需要与生产环境中不同的安全策略(例如不需要使用 的安全策略)。还要考虑您的客户端代码是否使用需要允许 iframe、'unsafe-inline'脚本等内容的应用程序技术。

制定内容安全策略后,请通过Google 的 CSP 评估器运行它,以深入了解您可能没有考虑到的事情。

归档时间:

查看次数:

6394 次

最近记录:

3 年,5 月 前
相关归档
序列化一个可以为null的int 88
在关闭警告中访问foreach变量 85
如何将New Column with Value添加到现有DataTable? 66
在ASP.NET Core中的Program.Main中访问环境名称 51
IntPtr,SafeHandle和HandleRef - 解释 39
.net引用的特定版本是真还是假? 38
可空引用类型和选项模式 9
Swashbuckle .NET Core 2中JWT承载的授权 8
SwaggerUI 没有将 ApiKey 添加到带有 Swashbuckle 的 Header (5.x) 8
当我在浏览器中刷新页面时,如何在ASP.NET Core 2.2中启用自动重建? 5
难疑归档
PHP:从数组中删除元素 2362
为什么我的JavaScript在所请求的资源上出现"No'Access-Control-Allow-Origin'标头"错误,当Postman没有? 2320
何时在CSS中使用margin和padding 2277
比较Git中的两个分支? 2149
如何用Vim中的换行符替换字符? 1870
makefile中.PHONY的目的是什么? 1535
如何检查字符串是否为数字(浮点数)? 1519
什么是C++ 11中的lambda表达式? 1408
为什么我们需要C++中的虚函数? 1223
什么是首选的Bash shebang? 1051