1. casa
  2. Domanda e risposta
  3. Configura il server IIS per utilizzare l'intestazione "Content-Security-Policy"

Configura il server IIS per utilizzare l'intestazione "Content-Security-Policy"

2016-06-23 77 views
5

Ho bisogno di aggiungere intestazioni personalizzate in IIS per "Content-Security-Policy", "X-Content-Type-Options" e "X-XSS" -Protezione".Configura il server IIS per utilizzare l'intestazione "Content-Security-Policy"

Ottengo la procedura per aggiungere queste intestazioni ma non sono sicuro di quale dovrebbe essere il valore di queste chiavi. https://technet.microsoft.com/pl-pl/library/cc753133(v=ws.10).aspx

http://content-security-policy.com/

si prega di suggerire. Grazie

fonte

2016-06-23 Gerry

+0

Hai google queste intestazioni? Ho trovato facilmente molti esempi online. – JohnC

+0

Il miglior riferimento è probabilmente https://blog.elmah.io/improving-security-in-asp-net-mvc-using-custom-headers/ –

risposta

7

Da this post, sembrerebbe che si definisca la propria politica di sicurezza dei contenuti (e, a sua volta, si popolino tali intestazioni) direttamente nel proprio file di configurazione IIS. L'esempio riportato nel post collegato,

<system.webServer> 
    <httpProtocol> 
     <customHeaders> 
      <add name="Content-Security-Policy" value="default-src 'self';" /> 
     </customHeaders> 
    </httpProtocol> 
</system.webServer>

dimostra come eseguire questa operazione; nel tuo file di configurazione, nella sezione httpProtocol, aggiungi una voce alla raccolta customHeaders contenente il nome (ovvero "Content-Security-Policy" e un valore che definisce il CSP che desideri implementare. Nell'esempio fornito, viene implementato un CSP molto semplice, che consente solo risorse dal sito locale (self) da caricare.

la seconda risorsa si è collegato elenca le varie opzioni è possibile utilizzare nel vostro customHeader, ed esempi di loro valori validi. l'unica cosa da ricordare è che le opzioni successive devono essere ; -separato e la stringa deve terminare in un ; finale.

fonte

2016-06-23 16:08:15

3

Open Web Application Security Project (OWASP) ha una coppia o Esempi di Content-Sicurezza-Privacy F e alcuni link utili sul loro Content Security Policy Cheat Sheet sotto Preventing Clickjacking:

di vietare ai inquadramento per l'utilizzo dei contenuti:

Content-Security-Policy: frame-ancestors 'none'

Per consentire per il tuo sito solo, l'uso:

Content-Security-Policy: frame-ancestors 'self'

per consentire dominio trusted (my-trusty-site.com), effettuare le seguenti operazioni:

Content-Security-Policy: frame-ancestors my-trusty-site.com

Mozilla Developers Network ha piena sintassi e gli esempi per entrambi Content-Security-Policy e X-ContentTypeOptions:

X-Frame-Options: DENY 
X-Frame-Options: SAMEORIGIN 
X-Frame-Options: ALLOW-FROM https://example.com/ 

X-Content-Type-Options: nosniff

Ecco un X-XSS-Protection example:

X-XSS-Protection: 1; mode=block

fonte

2016-10-25 19:42:39 JohnC

2

An vecchia domanda ma da quando Google ti fa cadere qui ...

ho trovato un grande "costruttore" per le opzioni CSP:

https://report-uri.io/home/tools/

Ora questo sembra essere un "collegamento unica risposta", ma in realtà, il link è un editor di CSP completamente integrato, è fai clic sulle caselle, seleziona i tuoi siti web di cui hai bisogno nel tuo CSP e la stringa CSP torna configurata per te (basta copiare e incollare il risultato nell'intestazione per Content-Security-Policy). Non potevo sperare di replicare la funzionalità in questa risposta, quindi il link.

fonte

2016-11-17 15:56:36 AngryCarrotTop

0

Su server 2012 R2. Aprire Gestione IIS. Fare clic su Home Server IIS. DoubleClick su intestazioni di risposta HTTP. Fai clic su Aggiungi sotto Azioni a destra. Aggiungi Nome e Vlaue.

fonte

2017-06-30 03:24:49

 Problemi correlati

  • Nessun problema correlato^_^