Inicio>código fuente ASP>Otras categorias
Descargar

ASP.NET Core Security Headers

Uso

Instale el paquete nuget AdamBarclay.AspNetCore.SecurityHeaders . 

    Install-Package AdamBarclay.AspNetCore.SecurityHeaders

Para incluir el middleware de los encabezados de seguridad en la tubería ASP.NET, durante la configuración de la aplicación incluye: 

    using AdamBarclay . AspNetCore . SecurityHeaders ;

y llamar: 

    app . UseSecurityHeaders ( )

Valores predeterminados

Llamar app.UseSecurityHeaders() es eqalente a llamar: 

    app . UseSecurityHeaders (
        c =>
        {
            c . ContentSecurityPolicy ( o =>
            {
                o . ConfigureDefault ( ) . Self ( ) ;
                o . ConfigureObject ( ) . None ( ) ;
                o . ConfigureDirective ( "frame-ancestors" ) . None ( ) ;
            } ) ;

            c . FrameOptions ( o => o . Deny ( ) ) ;

            c . ReferrerPolicy ( o => o . StrictOriginWhenCrossOrigin ( ) ) ;

            c . StrictTransportSecurity ( o => o . MaxAge ( TimeSpan . FromDays ( 365 ) ) . IncludeSubdomains ( ) ) ;
        } ) ;

Por defecto, todos los encabezados de seguridad están incluidos. Para deshabilitar cualquiera de los encabezados, llame Disable() en el constructor de configuración de ese encabezado. 

    app . UseSecurityHeaders (
        c =>
        {
            c . ContentSecurityPolicy ( o => o . Disable ( ) ) ;
            c . ContentTypeOptions ( o => o . Disable ( ) ) ;
            c . FrameOptions ( o => o . Disable ( ) ) ;
            c . ReferrerPolicy ( o => o . Disable ( ) ) ;
            c . StrictTransportSecurity ( o => o . Disable ( ) ) ;
        } ) ;

Encabezado

Política de seguridad de contenido (Contenido-Security-Policy)

El valor predeterminado para content-security-policy es default-src 'self';frame-ancestors 'none';object-src 'none' .

Opciones de tipo de contenido (X-Content-Type-Opciones)

El valor predeterminado para x-content-type-options es nosniff .

No se pueden configurar otros valores.

Opciones de cuadro (X-Frame-Opciones)

El valor predeterminado para x-frame-options está deny .

Utilice el constructor de configuración FrameOptions() para configurar el valor.

Llame Deny() para establecer el valor para deny . 

    app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . Deny ( ) ) ) ;

Llame SameOrigin() para establecer el valor en sameorigin . 

    app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . SameOrigin ( ) ) ) ;

Política de referencia (referente-política)

El valor predeterminado para referrer-policy es strict-origin-when-cross-origin .

Seguridad estricta del transporte (seguridad de transporte estricto)

El valor predeterminado para strict-transport-security es max-age=31536000;includeSubdomains .

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo