当同时使用NWebSec.Mvc和NWebSec.OWIN时，我需要在两个地方配置安全性吗？

Question

我有一个ASP.NET MVC 5站点，它使用ASP.NET Identity v2。我试着用NWebSec来“硬化”它。

因为站点使用MVC和Owin，所以我已经安装了NWebSec.MVC和NWebSec.OWIN NuGet包。

阅读文档后，可以通过配置文件为NWebSec/MVC设置许多选项，也可以通过Startup.cs文件在代码中为Startup.cs设置一些相同的选项。

例如，要添加HSTS，我可以在web.config中执行以下操作：

  <nwebsec>
    <httpHeaderSecurityModule xmlns="http://nwebsec.com/HttpHeaderSecurityModuleConfig.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NWebsecConfig/HttpHeaderSecurityModuleConfig.xsd">
      <securityHttpHeaders>
        <strict-Transport-Security max-age="365" includeSubdomains="true" httpsOnly="false" preload="true" />
      </securityHttpHeaders>
    </httpHeaderSecurityModule>
  </nwebsec>

.和/或startup.cs中的下列内容：

    public void Configuration(IAppBuilder app)
    {
        this.ConfigureAuth(app);

        app.UseHsts(o => o.MaxAge(365).IncludeSubdomains().AllResponses().Preload());
    }

我的问题是:我是否必须在两个地方设置所有选项?还是只在一个地方设置(在这种情况下，哪个更好)？

我更愿意做web.config文件中的所有配置，但我不确定这是否会遗漏一些需要在Startup.cs文件中设置的内容。

Answer 1

您可以安全地设置web.config中的所有配置。对于那些喜欢使用启动类而不是web.config的人来说，OWIN包是存在的。

如果您应该在web.config和中间件中配置HSTS，则头将首先根据web.config在响应中进行设置。中间件稍后将在管道中运行，并将基于OWIN配置设置报头，而不考虑web.config中的内容。因此，当在两个地方配置了头时，中间件就会获胜。

为了完整地回答这个问题:如果您使用MVC属性覆盖基本配置，那么在计算结果配置时，将选择特定标头的OWIN配置而不是web.config。所以wins在所有情况下都赢了web.config。