1. घर
  2. सवाल और जवाब
  3. क्या Asp.net Web.config में एकाधिक सामग्री सुरक्षा नीति निर्देश जोड़ना संभव है?

क्या Asp.net Web.config में एकाधिक सामग्री सुरक्षा नीति निर्देश जोड़ना संभव है?

2015-11-03 10 views
7

मैं वर्तमान में हमारे एएसपीनेट अनुप्रयोगों में सुरक्षा उपायों को लागू कर रहा हूं और एक्स-फ्रेम-विकल्पों जैसे कुछ मुद्दों को हल करना पड़ा लेकिन कई सामग्री सुरक्षा नीति निर्देशों को जोड़ने के तरीके में कठिनाइयों का सामना करना पड़ा।क्या Asp.net Web.config में एकाधिक सामग्री सुरक्षा नीति निर्देश जोड़ना संभव है?

मैंने बहुत कुछ खोजा है और वेब.कॉन्फिग में एकाधिक सीएसपी निर्देश जोड़ने के लिए बिल्कुल सही समाधान नहीं मिला है, लेकिन केवल blog.simontimms.com जैसे कोड के माध्यम से।

वर्तमान में यह सीएसपी है मेरे पास है:

<httpProtocol> 
    <customHeaders> 
    <clear /> 
    <add name="X-Frame-Options" value="ALLOW-FROM http://subdomain.domain.com" /> 
    <add name="Content-Security-Policy" value="frame-ancestors http://subdomain.domain.com" /> 
    </customHeaders> 
</httpProtocol>

मेरा प्रश्न Asp.net web.config में कई सामग्री सुरक्षा नीति निर्देशों को जोड़ने का तरीका है? मैं नीचे अर्द्ध बृहदान्त्र द्वारा सीमांकित विन्यास की कोशिश की लेकिन यह काम नहीं करता :(

<add name="Content-Security-Policy" value="frame-ancestors http://subdomain.domain.com; img-src *; " />

अद्यतन:

मुझे लगता है कि इसके बाद के संस्करण कोड को कई निर्देश जोड़ने के लिए सही वाक्य रचना था मैं केवल 'self' सही याद किया। फ्रेम पूर्वजों कि रन-टाइम मुझे लगता है कि यह पहली बार में गलत था कि बनाता है पर एक त्रुटि के कारण के बाद

अतिरिक्त जानकारी:।

यदि आप चाहें तो आप उस पर वाइल्डकार्ड '*' डाल सकते हैं उप डोमेन के लिए बहुत कुछ है में जहां कुछ मुद्दों पर भाग गया:

<add name="Content-Security-Policy" value="frame-ancestors 'self' http://*.domain.com; img-src *; " />

स्रोत

2015-11-03 jtabuloc

उत्तर

3

आप NWebsec उपयोग कर सकते हैं। कृपया ट्रॉय हंट से उदाहरण का अनुसरण को देखो। (http://www.troyhunt.com/2015/05/implementing-content-security-policy.html)

<content-Security-Policy enabled="true"> 
    <default-src self="true" /> 
    <script-src unsafeInline="true" unsafeEval="true" self="true"> 
    <add source="https://www.google.com" /> 
    <add source="https://www.google-analytics.com" /> 
    <add source="https://cdnjs.cloudflare.com" /> 
    </script-src> 
    <style-src unsafeInline="true" self="true"> 
    <add source="https://cdnjs.cloudflare.com"/> 
    </style-src> 
    <img-src self="true"> 
    <add source="https://az594751.vo.msecnd.net"/> 
    <add source="https://www.google.com"/> 
    <add source="https://www.google-analytics.com" /> 
    </img-src> 
    <font-src> 
    <add source="https://cdnjs.cloudflare.com"/> 
    </font-src> 
    <object-src none="false" /> 
    <media-src none="false" /> 
    <frame-src none="false" /> 
    <connect-src none="false" /> 
    <frame-ancestors none="false" /> 
    <report-uri enableBuiltinHandler="true"/> 
</content-Security-Policy>

NWebsec ASP.NET अनुप्रयोगों के लिए सुरक्षा पुस्तकालय का उपयोग करने के लिए आसान है। कॉन्फ़िगरेशन की कुछ पंक्तियों के साथ यह आपको महत्वपूर्ण सुरक्षा शीर्षलेख सेट करने, संभावित रूप से खतरनाक रीडायरेक्ट का पता लगाने, कैश हेडर को नियंत्रित करने और संस्करण शीर्षलेखों को हटाने देता है। प्रलेखन के लिए परियोजना वेबसाइट देखें।

मेरा मानना ​​है कि यह सीएसपी नियमों की बहु लाइन जोड़ने में सक्षम है।

https://www.nuget.org/packages/NWebsec

स्रोत

2015-11-03 12:31:20

+0

आप इसे संसाधन स्थान के आधार पर निम्न लेख के नीचे वर्णन की तरह कैसे अलग-अलग हो सकता हूं? https://pokeinthe.io/2016/04/09/black-icons-with-svg-and-csp/ – SOReader

संबंधित मुद्दे

 संबंधित मुद्दे