У меня есть веб-сайт, который подвержен уязвимости, связанной с щелчками. Проводя некоторые исследования, похоже, что один из простых подходов - просто добавить X-Frame-Options: SAMEORIGIN
в заголовок ответа. Это очень старое веб-приложение (последнее обновление - 2004) и работает с IIS 6 с ASP.NET 2.0.Добавить пользовательский заголовок ответа в web.config
В новых версиях, я мог бы просто добавить следующую секцию web.config
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
И это будет конец. Тем не менее, я не могу проверить, что это возможно с помощью IIS 6.
Возможно ли это, если IIS 6 и ASP.NET 2.0 выполняются только в файле web.config
? Если да, то как? Если нет, то какие изменения кода я должен был бы сделать для достижения того же результата? Просто добавит
Context.Response.AddHeader("X-Frame-Options", "SAMEORIGIN");
до Global.asax#Application_EndRequest
достаточно?
есть ли какая-либо причина использовать пользовательский модуль, а мой второй подход, добавив его в файл Global.asax? Мне нравится идея пользовательского модуля, просто любопытно, есть ли причина использовать один над другим. – Zymus
Собственно, я не заметил этого фрагмента кода. Да, этого также должно быть достаточно, хотя вы можете настроить таргетинг на ['Application_PreSendRequestHeaders'] (https://msdn.microsoft.com/en-us/library/system.web.httpapplication.presendrequestheaders (v = vs. 110) .aspx), если это возможно, поскольку лучше было бы добавить заголовки. –