aspnetcore security headers
1.0.1
Installieren Sie das AdamBarclay.AspNetCore.SecurityHeaders -Nuget -Paket.
Install-Package AdamBarclay.AspNetCore.SecurityHeadersUm die Sicherheitsheader Middleware in die ASP.NET -Pipeline aufzunehmen, gehören:
using AdamBarclay . AspNetCore . SecurityHeaders ;und rufen Sie an:
app . UseSecurityHeaders ( ) app.UseSecurityHeaders() rufen an.
app . UseSecurityHeaders (
c =>
{
c . ContentSecurityPolicy ( o =>
{
o . ConfigureDefault ( ) . Self ( ) ;
o . ConfigureObject ( ) . None ( ) ;
o . ConfigureDirective ( "frame-ancestors" ) . None ( ) ;
} ) ;
c . FrameOptions ( o => o . Deny ( ) ) ;
c . ReferrerPolicy ( o => o . StrictOriginWhenCrossOrigin ( ) ) ;
c . StrictTransportSecurity ( o => o . MaxAge ( TimeSpan . FromDays ( 365 ) ) . IncludeSubdomains ( ) ) ;
} ) ; Standardmäßig sind alle Sicherheitsheader enthalten. Um einen der Header zu deaktivieren, rufen Sie Disable() auf dem Konfigurationsbauer dieses Headers auf.
app . UseSecurityHeaders (
c =>
{
c . ContentSecurityPolicy ( o => o . Disable ( ) ) ;
c . ContentTypeOptions ( o => o . Disable ( ) ) ;
c . FrameOptions ( o => o . Disable ( ) ) ;
c . ReferrerPolicy ( o => o . Disable ( ) ) ;
c . StrictTransportSecurity ( o => o . Disable ( ) ) ;
} ) ; Der Standardwert für content-security-policy ist default-src 'self';frame-ancestors 'none';object-src 'none' .
Der Standardwert für x-content-type-options ist nosniff .
Es können keine anderen Werte konfiguriert werden.
Der Standardwert für x-frame-options ist deny .
Verwenden Sie den Configuration Builder FrameOptions() um den Wert zu konfigurieren.
Rufen Sie Deny() an, um den Wert zu deny .
app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . Deny ( ) ) ) ; Rufen Sie SameOrigin() an, um den Wert auf sameorigin zu setzen.
app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . SameOrigin ( ) ) ) ; Der Standardwert für referrer-policy ist strict-origin-when-cross-origin .
Der Standardwert für strict-transport-security beträgt max-age=31536000;includeSubdomains .
