1. Zuhause
  2. Frage und Antwort
  3. Ist es möglich, mehrere Richtlinien zur Inhaltssicherheitsrichtlinie in Asp.net Web.config hinzuzufügen?

Ist es möglich, mehrere Richtlinien zur Inhaltssicherheitsrichtlinie in Asp.net Web.config hinzuzufügen?

2015-11-03 3 views
7

Ich verwende derzeit Sicherheitsmaßnahmen in unseren Asp.net-Anwendungen und musste einige Probleme wie x-frame-options lösen, hatte aber Schwierigkeiten beim Hinzufügen mehrerer Richtlinien für Inhaltssicherheitsrichtlinien.Ist es möglich, mehrere Richtlinien zur Inhaltssicherheitsrichtlinie in Asp.net Web.config hinzuzufügen?

Ich habe viel gesucht und nicht genau Lösung gefunden, wie mehrere CSP-Direktiven in web.config aber nur durch Code wie blog.simontimms.com hinzufügen.

Derzeit ist dies der CSP ich habe:

<httpProtocol> 
    <customHeaders> 
    <clear /> 
    <add name="X-Frame-Options" value="ALLOW-FROM http://subdomain.domain.com" /> 
    <add name="Content-Security-Policy" value="frame-ancestors http://subdomain.domain.com" /> 
    </customHeaders> 
</httpProtocol>

Meine Frage ist, wie mehrere Content-Security Policy-Richtlinien in Asp.net web.config hinzufügen? Ich habe versucht, Konfiguration unten durch Semikolon begrenzt, aber es funktioniert nicht :(

<add name="Content-Security-Policy" value="frame-ancestors http://subdomain.domain.com; img-src *; " />

Update:

denke ich, der obige Code die richtige Syntax für das Hinzufügen mehrerer Direktive war ich verpasst nur 'self' richtig. nach dem Rahmen-Vorfahren, die einen Fehler auf der Laufzeit führen, die ich denke, dass es zunächst falsch war

Zusätzliche Informationen:.

Wenn Sie einige Probleme lief, wo in Ihnen eine Menge Sub-Domain haben Sie Wildcard '*' auf es anbringen können:

<add name="Content-Security-Policy" value="frame-ancestors 'self' http://*.domain.com; img-src *; " />

Quelle

2015-11-03 jtabuloc

Antwort

3

Sie NWebsec verwenden möchten. Bitte schauen Sie sich folgendes Beispiel aus Troy Jagd. (http://www.troyhunt.com/2015/05/implementing-content-security-policy.html)

<content-Security-Policy enabled="true"> 
    <default-src self="true" /> 
    <script-src unsafeInline="true" unsafeEval="true" self="true"> 
    <add source="https://www.google.com" /> 
    <add source="https://www.google-analytics.com" /> 
    <add source="https://cdnjs.cloudflare.com" /> 
    </script-src> 
    <style-src unsafeInline="true" self="true"> 
    <add source="https://cdnjs.cloudflare.com"/> 
    </style-src> 
    <img-src self="true"> 
    <add source="https://az594751.vo.msecnd.net"/> 
    <add source="https://www.google.com"/> 
    <add source="https://www.google-analytics.com" /> 
    </img-src> 
    <font-src> 
    <add source="https://cdnjs.cloudflare.com"/> 
    </font-src> 
    <object-src none="false" /> 
    <media-src none="false" /> 
    <frame-src none="false" /> 
    <connect-src none="false" /> 
    <frame-ancestors none="false" /> 
    <report-uri enableBuiltinHandler="true"/> 
</content-Security-Policy>

NWebsec ist eine einfache Sicherheitsbibliothek für ASP.NET-Anwendungen zu verwenden. Mit ein paar Zeilen Konfiguration können Sie wichtige Sicherheits-Header festlegen, potenziell gefährliche Weiterleitungen erkennen, Cache-Header steuern und Versionsheader entfernen. Informationen zur Dokumentation finden Sie auf der Projektwebsite.

Ich glaube, es ist in der Lage, mehrere CSP-Regeln hinzuzufügen.

https://www.nuget.org/packages/NWebsec

Quelle

2015-11-03 12:31:20

+0

Wie unterscheiden Sie es auf Ressourcen Location Based wie am unteren Rand des folgenden Artikels beschreiben? https://pokeinthe.io/2016/04/09/black-icon-with-svg-and-csp/ – SOReader

 Verwandte Themen

  • Keine verwandten Themen^_^