Мне нужно добавить пользовательские заголовки в IIS для «Content-Security-Policy», «X-Content-Type-Options» и «X-XSS» -Защита».Конфигурируйте свой сервер IIS для использования заголовка «Content-Security-Policy»
Я получаю процедуру добавления этих заголовков, но я не уверен, что должно быть значением этих ключей. https://technet.microsoft.com/pl-pl/library/cc753133(v=ws.10).aspx
http://content-security-policy.com/
Просьба предложить. Спасибо
От this post, похоже, что вы определяете свою политику безопасности контента (и, в свою очередь, заполняете эти заголовки) непосредственно в конфигурационном файле IIS. Пример, приведенный в связанном сообщении,
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self';" />
</customHeaders>
</httpProtocol>
</system.webServer>
демонстрирует, как это сделать; в вашем файле конфигурации в разделе httpProtocol добавьте запись в коллекцию customHeaders, содержащую имя (то есть "Content-Security-Policy" и значение, определяющее CSP, которое вы хотите реализовать. В приведенном примере реализована очень простая CSP, которая позволяет только ресурсы от локального сайта (self), который будет загружен.
Второй ресурс вы связаны перечислены различные параметры, которые можно использовать в customHeader, и примеры их допустимых значений. Единственное, что нужно помнить о том, что последующие параметры должны быть ; -сепаратированный, и строка должна заканчиваться окончательным ;.
Открытый проект обеспечения безопасности веб-приложений (OWASP) имеет пару o F примеры Content-Security-Policy и некоторые полезные ссылки на их Content Security Policy Cheat Sheet под Preventing Clickjacking:
Чтобы предотвратить все обрамление вашего использования контента:
Content-Security-Policy: frame-ancestors 'none'Чтобы разрешить для вашего сайта только использование:
Content-Security-Policy: frame-ancestors 'self'для обеспечения доверенного домена (my-trusty-site.com), выполните следующие действия:
Content-Security-Policy: frame-ancestors my-trusty-site.com
Mozilla Разработчики сети имеет полный синтаксис и примеры для обоих Content-Security-Policy и X-ContentTypeOptions:
X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM https://example.com/ X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
старый вопрос, но так как Google падает на вас здесь ...
Я нашел большой «строитель» для опций НСП:
https://report-uri.io/home/tools/
Теперь это появляется, чтобы быть «ссылка только ответ», но на самом деле, ссылка полностью встроенный редактор СНТ, вам щелкните по ячейкам, выберите свои веб-сайты, которые вам нужны в CSP, и строка CSP вернется настроенной для вас (просто скопируйте и вставьте результат в свой заголовок для Content-Security-Policy). Я не мог НАДЕЕТСЯ воспроизвести функциональность в этом ответе, следовательно, ссылку.
На сервере 2012 R2. Откройте диспетчер IIS. Нажмите «Главная страница IIS». DoubleClick в заголовках ответов HTTP. Нажмите «Добавить» в разделе «Действия» справа. Добавьте имя и Vlaues.
Вы указали эти заголовки Google? Я легко нашел множество примеров в Интернете. – JohnC
Лучшей ссылкой, вероятно, является https://blog.elmah.io/improving-security-in-asp-net-mvc-using-custom-headers/ –