aspnetcore security headers
1.0.1
Instale o pacote AdamBarclay.AspNetCore.SecurityHeaders Nuget.
Install-Package AdamBarclay.AspNetCore.SecurityHeadersPara incluir o middleware dos cabeçalhos de segurança no pipeline do ASP.NET, durante a configuração do aplicativo inclui:
using AdamBarclay . AspNetCore . SecurityHeaders ;e ligue:
app . UseSecurityHeaders ( ) Calling app.UseSecurityHeaders() é equivalente à chamada:
app . UseSecurityHeaders (
c =>
{
c . ContentSecurityPolicy ( o =>
{
o . ConfigureDefault ( ) . Self ( ) ;
o . ConfigureObject ( ) . None ( ) ;
o . ConfigureDirective ( "frame-ancestors" ) . None ( ) ;
} ) ;
c . FrameOptions ( o => o . Deny ( ) ) ;
c . ReferrerPolicy ( o => o . StrictOriginWhenCrossOrigin ( ) ) ;
c . StrictTransportSecurity ( o => o . MaxAge ( TimeSpan . FromDays ( 365 ) ) . IncludeSubdomains ( ) ) ;
} ) ; Por padrão, todos os cabeçalhos de segurança estão incluídos. Para desativar qualquer um dos cabeçalhos, ligue Disable() no construtor de configuração desse cabeçalho.
app . UseSecurityHeaders (
c =>
{
c . ContentSecurityPolicy ( o => o . Disable ( ) ) ;
c . ContentTypeOptions ( o => o . Disable ( ) ) ;
c . FrameOptions ( o => o . Disable ( ) ) ;
c . ReferrerPolicy ( o => o . Disable ( ) ) ;
c . StrictTransportSecurity ( o => o . Disable ( ) ) ;
} ) ; O valor padrão para content-security-policy é default-src 'self';frame-ancestors 'none';object-src 'none' .
O valor padrão para x-content-type-options é nosniff .
Nenhum outro valores pode ser configurado.
O valor padrão para x-frame-options é deny .
Use o construtor de configuração FrameOptions() para configurar o valor.
Call Deny() para definir o valor a deny .
app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . Deny ( ) ) ) ; Ligue para SameOrigin() para definir o valor para sameorigin .
app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . SameOrigin ( ) ) ) ; O valor padrão para referrer-policy é strict-origin-when-cross-origin .
O valor padrão para strict-transport-security é max-age=31536000;includeSubdomains .
