我已在我的组织中提出了 Sharepoint 申请,并提出了安全评估请求。安全团队给出了以下漏洞:
未加密的 Web 配置文件
可以加密吗?我在加密配置文件时遇到应用程序错误。
服务器版本公开(HTTPAPI/2.0)
安全团队建议在
HttpContext.Current.Response.Headers.Remove("Server");
文件中添加 Global.ascx
。这个文件在哪里?我没有这样的文件。
Cookie 不安全、不正确或缺少 SameSite 属性
如何在 Sharepoint 中解决此问题?我们的组织使用 Microsoft SSO 进行身份验证。
带有“不安全内联 -
”的内容安全策略如何在 Sharepoint 应用程序中解决此问题?
可以在 SharePoint 中加密 web.config 文件。您可以使用命令“aspnet_regiis.exe -pef”来加密 web.config 文件。如果您在加密配置文件时遇到应用程序错误,您可以尝试排除错误或寻求 SharePoint 专家的帮助。
要删除服务器版本公开标头,您可以将以下代码添加到 web.config 文件中:
<system.webServer>
<httpProtocol>
<customHeaders>
<remove name="Server" />
</customHeaders>
</httpProtocol>
</system.webServer>
如果您没有 Global.ascx 文件,您可以在 SharePoint 应用程序的 App_Code 文件夹中创建一个。
要修复 Cookie 不安全、不正确或缺少 SameSite 属性的问题,您可以在 web.config 文件中的 cookie 中添加 SameSite 属性。这是一个例子:
<system.web>
<httpCookies sameSite="None" requireSSL="true" />
</system.web>
要修复内容安全策略的“不安全内联”问题,您可以将以下元标记添加到 SharePoint 应用程序的母版页:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';" />
请注意,这些修复可能并不详尽,您可能需要咨询 SharePoint 专家以获得更全面的解决方案。