首頁>ASP源碼>其他類別
下載

ASP.NET核心安全標頭

用法

安裝AdamBarclay.AspNetCore.SecurityHeaders nuget軟件包。 

    Install-Package AdamBarclay.AspNetCore.SecurityHeaders

為了在ASP.NET管道中包括安全標頭中間件,在應用程序配置期間包括: 

    using AdamBarclay . AspNetCore . SecurityHeaders ;

並致電: 

    app . UseSecurityHeaders ( )

預設值

呼叫app.UseSecurityHeaders()是neqvalent呼叫: 

    app . UseSecurityHeaders (
        c =>
        {
            c . ContentSecurityPolicy ( o =>
            {
                o . ConfigureDefault ( ) . Self ( ) ;
                o . ConfigureObject ( ) . None ( ) ;
                o . ConfigureDirective ( "frame-ancestors" ) . None ( ) ;
            } ) ;

            c . FrameOptions ( o => o . Deny ( ) ) ;

            c . ReferrerPolicy ( o => o . StrictOriginWhenCrossOrigin ( ) ) ;

            c . StrictTransportSecurity ( o => o . MaxAge ( TimeSpan . FromDays ( 365 ) ) . IncludeSubdomains ( ) ) ;
        } ) ;

默認情況下,包括所有安全標頭。要禁用任何標頭,請在該標頭配置構建器上調用Disable()

    app . UseSecurityHeaders (
        c =>
        {
            c . ContentSecurityPolicy ( o => o . Disable ( ) ) ;
            c . ContentTypeOptions ( o => o . Disable ( ) ) ;
            c . FrameOptions ( o => o . Disable ( ) ) ;
            c . ReferrerPolicy ( o => o . Disable ( ) ) ;
            c . StrictTransportSecurity ( o => o . Disable ( ) ) ;
        } ) ;

標題

內容安全策略(內容安全政策)

content-security-policy的默認值是default-src 'self';frame-ancestors 'none';object-src 'none'

內容類型選項(x-content-type-options)

x-content-type-options的默認值是nosniff

沒有其他值可以配置。

框架選項(X-Frame-Options)

x-frame-options的默認值是deny

使用FrameOptions()配置構建器配置值。

致電Deny()將值設置為deny

    app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . Deny ( ) ) ) ;

致電SameOrigin()將值設置為sameorigin

    app . UseSecurityHeaders ( c => c . FrameOptions ( o => o . SameOrigin ( ) ) ) ;

推薦人策略(推薦人 - 政策)

referrer-policy的默認值是strict-origin-when-cross-origin

嚴格的運輸安全(嚴格的轉運安全)

strict-transport-security的默認值為max-age=31536000;includeSubdomains

展開
附加信息
相關應用
爲您推薦
相關資訊 全部