首页>ASP源码>其他类别
下载

ASP.NET核心安全标头

用法

安装AdamBarclay.AspNetCore.SecurityHeaders nuget软件包。 

    Install-Package AdamBarclay.AspNetCore.SecurityHeaders

为了在ASP.NET管道中包括安全标头中间件,在应用程序配置期间包括: 

    using AdamBarclay . AspNetCore . SecurityHeaders ;

并致电: 

    app . UseSecurityHeaders ( )

默认值

呼叫app.UseSecurityHeaders()是neqvalent呼叫: 

    app . UseSecurityHeaders (
        c =>
        {
            c . ContentSecurityPolicy ( o =>
            {
                o . ConfigureDefault ( ) . Self ( ) ;
                o . ConfigureObject ( ) . None ( ) ;
                o . ConfigureDirective ( "frame-ancestors" ) . None ( ) ;
            } ) ;

            c . FrameOptions ( o => o . Deny ( ) ) ;

            c . ReferrerPolicy ( o => o . StrictOriginWhenCrossOrigin ( ) ) ;

            c . StrictTransportSecurity ( o => o . MaxAge ( TimeSpan . FromDays ( 365 ) ) . IncludeSubdomains ( ) ) ;
        } ) ;

默认情况下,包括所有安全标头。要禁用任何标头,请在该标头配置构建器上调用Disable()

    app . UseSecurityHeaders (
        c =>
        {
            c . ContentSecurityPolicy ( o => o . Disable ( ) ) ;
            c . ContentTypeOptions ( o => o . Disable ( ) ) ;
            c . FrameOptions ( o => o . Disable ( ) ) ;
            c . ReferrerPolicy ( o => o . Disable ( ) ) ;
            c . StrictTransportSecurity ( o => o . Disable ( ) ) ;
        } ) ;

标题

内容安全策略(内容安全政策)

content-security-policy的默认值是default-src 'self';frame-ancestors 'none';object-src 'none'

内容类型选项(x-content-type-options)

x-content-type-options的默认值是nosniff

没有其他值可以配置。

框架选项(X-Frame-Options)

x-frame-options的默认值是deny

使用FrameOptions()配置构建器配置值。

致电Deny()将值设置为deny

    app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . Deny ( ) ) ) ;

致电SameOrigin()将值设置为sameorigin

    app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . SameOrigin ( ) ) ) ;

推荐人策略(推荐人 - 政策)

referrer-policy的默认值是strict-origin-when-cross-origin

严格的运输安全(严格的转运安全)

strict-transport-security的默认值为max-age=31536000;includeSubdomains

展开
附加信息
相关应用
为您推荐
相关资讯 全部