如何在基于 Windows 的容器内测试应用服务上的安全标头?
问题描述 投票:0回答:1
我已经在我的网络应用程序上设置了 HSTS。它是一个带有 .net 后端的 Angular 应用程序,托管在 Windows 容器中的 Azure 应用服务上。我对 Startup.cs 进行了更改:
services.AddHsts(options =>
{
options.Preload = true;
options.IncludeSubDomains = true;
options.MaxAge = TimeSpan.FromMinutes(5); //.FromDays(60); //.FromSeconds(31536000);
});
services.AddHttpsRedirection(options =>
{
options.RedirectStatusCode = (int)HttpStatusCode.TemporaryRedirect;
options.HttpsPort = 5001;
});
Chrome 内部显示:dynamic_upgrade_mode: FORCE_HTTPS。 我不知道如何在 Windows 容器中为 Azure 应用服务设置其他安全标头:
- X-XSS-保护
- X 框架选项
- X-内容类型-选项
- HTTP 严格传输安全 (HSTS)
- 推荐人政策
- 功能策略
- 内容安全政策
1个回答
0
投票
投票
您可以从
Security HeadersProgram.csweb.config在
Program.csapp.Use(async (mycon, sh) =>
{
mycon.Response.Headers.Add("Strict-Transport-Security", "max-age=31536000; includeSubDomains; preload");
mycon.Response.Headers.Add("X-XSS-Protection", "1; mode=block");
mycon.Response.Headers.Add("X-Frame-Options", "SAMEORIGIN");
mycon.Response.Headers.Add("X-Content-Type-Options", "nosniff");
mycon.Response.Headers.Add("Referrer-Policy", "no-referrer");
mycon.Response.Headers.Add("Feature-Policy", "camera 'none'; microphone 'none'");
mycon.Response.Headers.Add("Content-Security-Policy", "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';");
await sh.Invoke();
});
或
我已参考此博客在
web.config- 在现有应用程序中添加一个
文件并添加以下与安全标头相关的设置。web.config
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.webServer>
<httpProtocol>
<customHeaders>
<clear />
<add name="X-Xss-Protection" value="1; mode=block"/>
<add name="X-Frame-Options" value="SAMEORIGIN"/>
<add name="X-Content-Type-Options" value="nosniff"/>
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload"/>
<add name="Referrer-Policy" value="strict-origin-when-cross-origin"/>
<add name="Feature-Policy" value="Policy-directive" />
<add name="Content-Security-Policy" value="upgrade-insecure-requests; base-uri 'self'; frame-ancestors 'self'; form-action 'self'; object-src 'none';"/>
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
web.config输出:
最新问题
- 无法使用removeEventListener()从元素中删除处理程序
- 在特定条件下分组,但应显示原始数据中的所有行
- 如何从DataLoader获取样本的文件名?
- 有没有办法将分支策略覆盖状态检查应用于Azure DevOps中起草/未发布的拉取请求?
- gtk 和 webkit 的奇怪错误
- 我想自定义AddedToCartDialogComponent,它有选择器cx-added-to-cart-dialog
- 限制供应商帐单访问权限仅查看用户已批准或正在等待批准的记录的脚本
- “http://localhost:3000”已被 CORS 阻止
- 使用鱿鱼启用 TLS 缓存。 https_port 指令支持
- GithubAction 分割字符串变量值或如何使用 NodeJS 输出
- 并行异步迭代 - 有可能吗?
- 如何生成一个给定大小的数组,并填充一个字段?
- 如何在 Laravel Voyager 管理器中放置自定义链接?
- Python ValueError:循环范围内封闭文件上的 I/O 操作
- 基于 3 个单元格值保存启用宏的工作簿
- Android 上 Java 中的 Apache SSH,java.lang.ClassNotFoundException:
- 使用 Polars 并行读取压缩的 CSV
- 一组不重叠整数范围的 Python 表示
- 控制 TextToSpeech 函数调用的音量
- 数据流 - AWS 到 GCP
© www.soinside.com 2019 - 2024. All rights reserved.