在web.config MVC中使用ASP.NET保护内容安全策略头列表

Question

例如，我在项目中管理的图像文件Webconfig文件

例如，面向404Javascript.js的问题图像文件在我现有的ASP.NET MVC项目中面临以下内容安全策略问题。

我们使用https://sitecheck.sucuri.net/检查安全扫描。

问题-安全报头 缺少XSS保护的安全头。受影响的网页： 缺少安全头以防止内容类型嗅探。受影响的网页： 缺少严格-传输-安全标题。受影响的网页： 显示默认服务器横幅。您的网站正在显示web服务器默认横幅。受影响的网页： https://www.example.com/404javascript.js https://www.example.com/404testpage4525d2fdc

我们试图使用具有以下配置的web配置文件来解决这个问题：

<customHeaders>
  <remove name="X-Powered-By" />
  <add name="X-Frame-Options" value="DENY" />
  <add name="X-Xss-Protection" value="1; mode=block" />
  <add name="X-Content-Type-Options" value="nosniff" />
  <add name="Referrer-Policy" value="no-referrer" />
  <add name="X-Permitted-Cross-Domain-Policies" value="none" />
  <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
  <add name="Feature-Policy" value="accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'" />
</customHeaders>

<httpRuntime targetFramework="4.6.1" maxRequestLength="1048576"  
             requestValidationMode="4.0" executionTimeout="110" 
             enableVersionHeader="false" />

但我们仍然面临相同的问题后，改变配置，请看看我们的过程，我们是错误的，或任何替代解决方案。

Answer 1

确保在system.webserver节中而不是在system.web部分中添加自定义标头标记。

<system.webServer>
  <httpProtocol>
    <customHeaders>

      <add name="X-Frame-Options" value="SAMEORIGIN" />

      <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains"/>

      <add name="X-XSS-Protection" value="1; mode=block" />

      <add name="X-Content-Type-Options" value="nosniff" />

      <add name="Content-Security-Policy" value="default-src 'self'; font-src *;img-src * data:; script-src *; style-src *;" />

      <add name="Referrer-Policy" value="strict-origin" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

执行chnage之后，重新启动iis服务器。