配置IIS服务器以使用"Content-Security-Policy“标头

Question

我需要在IIS中为"Content-Security-Policy“、"X-Content-Type-Options”和"X-XSS-Protection“添加自定义标头。

我得到了添加这些头文件的过程，但是我不确定这些键的值应该是什么。https://technet.microsoft.com/pl-pl/library/cc753133(v=ws.10).aspx

http://content-security-policy.com/

请提个建议。谢谢

Answer 1

在this post中，您似乎直接在IIS配置文件中定义了内容安全策略(并依次填充这些头文件)。链接的帖子中给出的例子，

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="default-src 'self';" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

演示如何执行此操作；在配置文件的httpProtocol部分中，向customHeaders集合添加一个包含名称的项(即"Content-Security-Policy"和一个定义要实现的CSP的值。在给定的示例中，实现了一个非常简单的CSP，它只允许加载来自本地站点(self)的资源。

您链接的第二个资源列出了您可以在customHeader中使用的不同选项，以及它们的有效值的示例。要记住的一件事是，后面的选项必须是;-separated，并且字符串必须以最终的;结尾。

Answer 2

这是一个老问题，但既然谷歌把你丢在这里……

我为CSP选项找到了一个很好的“构建器”：

https://report-uri.io/home/tools/

现在，这看起来确实是一个“链接唯一的答案”，但实际上，该链接是一个完全构建的CSP编辑器，您单击框，在CSP中选择您需要的网站，CSP字符串就会返回并为您配置(只需将结果复制并粘贴到Content-Security-Policy的标题中)。我不能希望复制这个答案中的功能，因此有了链接。

Answer 3

在服务器2012 R2上：

1. 打开IIS管理器。
2. 单击IIS服务器HTTP响应头上的IIS。
3. 单击右侧操作下的添加。
4. 添加名称和值。