Page d'accueil>Code source ASP>Autres catégories
Télécharger

En-têtes de sécurité de base ASP.NET

Usage

Installez le package AdamBarclay.AspNetCore.SecurityHeaders Nuget. 

    Install-Package AdamBarclay.AspNetCore.SecurityHeaders

Pour inclure les en-têtes de sécurité middleware dans le pipeline ASP.NET, pendant la configuration de l'application inclut: 

    using AdamBarclay . AspNetCore . SecurityHeaders ;

Et appelez: 

    app . UseSecurityHeaders ( )

Par défaut

L'appel app.UseSecurityHeaders() est étiqueté à l'appel: 

    app . UseSecurityHeaders (
        c =>
        {
            c . ContentSecurityPolicy ( o =>
            {
                o . ConfigureDefault ( ) . Self ( ) ;
                o . ConfigureObject ( ) . None ( ) ;
                o . ConfigureDirective ( "frame-ancestors" ) . None ( ) ;
            } ) ;

            c . FrameOptions ( o => o . Deny ( ) ) ;

            c . ReferrerPolicy ( o => o . StrictOriginWhenCrossOrigin ( ) ) ;

            c . StrictTransportSecurity ( o => o . MaxAge ( TimeSpan . FromDays ( 365 ) ) . IncludeSubdomains ( ) ) ;
        } ) ;

Par défaut, tous les en-têtes de sécurité sont inclus. Pour désactiver l'un des en-têtes, appelez Disable() sur le constructeur de configuration de cet en-tête. 

    app . UseSecurityHeaders (
        c =>
        {
            c . ContentSecurityPolicy ( o => o . Disable ( ) ) ;
            c . ContentTypeOptions ( o => o . Disable ( ) ) ;
            c . FrameOptions ( o => o . Disable ( ) ) ;
            c . ReferrerPolicy ( o => o . Disable ( ) ) ;
            c . StrictTransportSecurity ( o => o . Disable ( ) ) ;
        } ) ;

Têtes

Politique de sécurité du contenu (contenu-sécurité-politique)

La valeur par défaut pour content-security-policy est default-src 'self';frame-ancestors 'none';object-src 'none' .

Options de type de contenu (Options de type X-Content)

La valeur par défaut pour x-content-type-options est nosniff .

Aucune autre valeur ne peut être configurée.

Options de trame (X-Frame-Options)

La valeur par défaut pour x-frame-options est deny .

Utilisez le constructeur de configuration FrameOptions() pour configurer la valeur.

Appelez Deny() pour définir la valeur sur deny . 

    app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . Deny ( ) ) ) ;

Appelez SameOrigin() pour définir la valeur sur sameorigin . 

    app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . SameOrigin ( ) ) ) ;

Politique de référence (référence-politique)

La valeur par défaut pour referrer-policy est strict-origin-when-cross-origin .

Sécurité des transports stricts (strict-transport-security)

La valeur par défaut pour strict-transport-security est max-age=31536000;includeSubdomains .

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout