を使用するようにIISサーバー-保護"。コンフィグの "Content-セキュリティポリシー" ヘッダ
これらのヘッダーを追加する手順がありますが、これらのキーの値をどうするべきかはわかりません。 https://technet.microsoft.com/pl-pl/library/cc753133(v=ws.10).aspx
http://content-security-policy.com/
示唆してください。おかげthis postから
、あなたのIISの設定ファイルに直接あなたのコンテンツセキュリティポリシーを定義し(そして、今度は、これらのヘッダを読み込む)ことと思われます。リンクされたポストで与えられた例は、これを行う方法を示しています。お使いの設定ファイルでは、httpProtocolセクションで、名を含むcustomHeadersコレクションにエントリを追加します(つまり、"Content-Security-Policy"とCSPを定義する値、あなたが実現したい。与えられた例では、非常に単純なCSPは、リソースのみを可能にする、実装されていますロードするローカルサイト(self)。
からあなたがリストに別のあなたがcustomHeaderで使用できるオプション、およびその有効な値の例をリンク2番目のリソース。覚えておくべき一つのことは、その後のオプションは;なければならないということです区切られ、文字列は、最終的な;で終わらなければなりません。
オープンWebアプリケーションセキュリティプロジェクト(OWASP)はカップルのOがありますコンテンツ利用のすべてのフレーミングを防止するためには
:コンテンツセキュリティポリシーの例とそのContent Security Policy Cheat SheetPreventing Clickjacking下にいくつかの便利なリンクFだけ自分のサイトを可能にするため
Content-Security-Policy: frame-ancestors 'none'を、使用:
:は(my-trusty-site.com)、次の操作を行います信頼できるドメインを可能にするために、Content-Security-Policy: frame-ancestors 'self'
Mozillaの開発者ネットワークContent-Security-PolicyとX-ContentTypeOptionsの両方のための完全な構文と例があります。ここでは
X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM https://example.com/ X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
アン古い質問ですが、googleはあなたをここから落としてしまいます...
I found a great "builder」用CSP options:
https://report-uri.io/home/tools/
Nowこのdoes appearへBE a「link only answer" butにおけるfact、the link IS a fully built CSP editor、youボックスをクリックし、CSPで必要なWebサイトを選択すると、CSP文字列が設定された状態に戻ります(Content-Security-Policyのヘッダに結果をコピーして貼り付けるだけです)。私は、この答えの機能性を複製することを望むことができなかったので、リンクします。
オンサーバー2012 R2。 IISマネージャーを開きます。 IIS Server Homeをクリックします。 HTTPレスポンスヘッダーのDoubleClick右側の[アクション]で[追加]をクリックします。名前と名前を追加します。
これらのヘッダーはgoogleでしたか?私は簡単に多くの例をオンラインで見つけました。 – JohnC
ベストレファレンスはおそらくhttps://blog.elmah.io/improving-security-in-asp-net-mvc-using-custom-headers/です。 –