aspnet core2中使用csp内容安全策略

问题:aspnet core2如何使用csp防止xss的攻击

方法:



 public void ConfigureServices(

            IServiceCollection services)

        {

            services.AddMvc();

        }

        public void Configure(

            IApplicationBuilder app,

            IHostingEnvironment env)

        {

            app.UseDeveloperExceptionPage();

            app.Use(async (context, next) =>

            {

                context.Response.Headers.Add(

                    "Content-Security-Policy",

                    "script-src 'self'; " +

                    "style-src 'self'; " +

                    "img-src 'self'");

                await next();

            });

            app.UseStaticFiles();

            app.UseMvcWithDefaultRoute();

        }

    }

_Layout页面 (普通html页面也可以,不一定是mvc)添加如下代码

<!DOCTYPE html>

<html>

<head>

    <meta name="viewport" content="width=device-width" />

    <title>@ViewBag.Title</title>

    <link rel="stylesheet" href="~/css/site.css" />

    <link rel="stylesheet"

          href="https://ajax.aspnetcdn.com/ajax/bootstrap/3.3.5/css/bootstrap.min.css" />

</head>

<body>

    <img src="~/img/site-banner.jpg" />

    <img src="https://media-www-asp.azureedge.net/media/5245130/home-hero-2.png" />

    <div>

        @RenderBody()

    </div>

    <script src="~/js/site.js"></script>

    <script src="https://ajax.aspnetcdn.com/ajax/jQuery/jquery-3.2.1.min.js"></script>

</body>

</html>

按f12调试 ,会看到类似下面的信息,bootstrap.min.css文件被浏览器拒绝了。

bootstrap.min.css blocked:csp

什么是 csp

这里也有介绍 https://www.zhihu.com/question/21979782

CSP指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。

看上面的代码就知道了,就是在header里加了Content-Security-Policy的安全策略。

来源的控制有哪些策略呢

1 : 允许所有

2 ‘self’: 网站自身,记得有单引号

3 Host: 服务器。可以设置其他的服务器地址,ip和域名都可以,如http://.foo.com cdn的资源可以这么做。

4 ‘unsafe-line’: 不安全的行内代码。如

 <a href="#" onclick="al()">保存</a>

5 ‘nonce-[base64-value]’:allow inline scripts with a specific nonce (number used once). The nonce should be encrypted and unique for every HTTP request/response .没用过。

能控制哪些内容呢?

script-src: JavaScript 脚本

style-src: css样式表

img-src: 图片地址

connect-src: ajax调用请求

font-src: 字体

object-src: 和 之类的元素

media-src: 音视频

form-action: form中的action

default-src: 加载内容的默认策略

更详细的看这里https://www.zhihu.com/question/21979782

以上内容可以用中间件实现。

原文:https://tahirnaushad.com/2017/09/12/using-csp-header-in-asp-net-core-2-0/

参考 https://www.zhihu.com/question/21979782

https://linux.cn/article-5848-1.html

https://yq.aliyun.com/articles/87712?utm_campaign=wenzhang&utm_medium=article&utm_source=QQ-qun&201767&utm_content=m_22674

原文作者实现了的中间件源码

GitHub: https://github.com/TahirNaushad/Fiver.Security.BrowserHeaders

源码中除了实现了csp,还有实现HTTP Strict Transport Security(从http跳转到https)的代码

aspnet core2中使用csp内容安全策略的更多相关文章

  1. 【XSS】再谈CSP内容安全策略

    再谈CSP内容安全策略 之前每次都是想的很浅,或者只是个理论派,事实证明就是得动手实践 参考 CSP的用法 官方文档 通过设置属性来告诉浏览器允许加载的资源数据来源.可通过Response响应头来设置 ...

  2. Content Security Policy (CSP)内容安全策略

    CSP简介 Content Security Policy(CSP),内容(网页)安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略(CSP)这个概念. CSP ...

  3. CSP内容安全策略总结及如何抵御 XSS 攻击

    跨域脚本攻击 XSS 是最常见.危害最大的网页安全漏洞.为了防止它们,要采取很多编程措施,非常麻烦.很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策&q ...

  4. 网页入侵最后一道防线:CSP内容安全策略

    首先,什么是最后一道防线?网页入侵都有一个过程,简单来说,就是1.代码注入,2.代码执行. 对于黑客来说,代码注入后并不代表就万事大吉了,因为此时代码只是安静地躺在受害者的服务器里,什么坏事都没干呢! ...

  5. CSP内容安全策略

    在浏览网页的过程中,尤其是移动端的网页,经常看到有很多无关的广告,其实大部分广告都是所在的网络劫持了网站响应的内容,并在其中植入了广告代码.为了防止这种情况发生,我们可以使用CSP来快速的阻止这种广告 ...

  6. Content Security Policy (CSP)内容安全策略总结

    跨域脚本攻击 XSS 是最常见.危害最大的网页安全漏洞. 为了防止它们,要采取很多编程措施,非常麻烦.很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策& ...

  7. 安全 - 内容安全策略(CSP)(未完)

    威胁 跨站脚本攻击(Cross-site scripting) 跨站脚本攻击Cross-site scripting (XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码. 攻 ...

  8. 内容安全策略(CSP)详解

    1.背景 1.1.同源策略 网站的安全模式源于"同源策略",web浏览器允许第一个web页面中的脚本访问页面中的数据,但前提是两个web页面具有相同的源.此策略防止一个页面的恶意脚 ...

  9. Web 安全之内容安全策略 (CSP)

    内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击. 这些攻击可用于实现从 ...

随机推荐

  1. Oracle建立全文索引详解

    Oracle建立全文索引详解1.全文检索和普通检索的区别 不使用Oracle text功能,当然也有很多方法可以在Oracle数据库中搜索文本,比如INSTR函数和LIKE操作: SELECT *FR ...

  2. qt学习笔记

    Part 1基本思路 学习目标:(熟练)使用 qt 制作符合要求的 ui FAQ:1)学习Qt5还是Qt4? 重要的是学习的方法而不是内容,掌握了正确的学习方法就可以很快完成另一者的学习,综合来看,Q ...

  3. Flask简介&入门

    1 了解框架 Flask作为Web框架,它的作用主要是为了开发Web应用程序.那么我们首先来了解下Web应用程序.Web应用程序 (World Wide Web)诞生最初的目的,是为了利用互联网交流工 ...

  4. Linux 常用命令介绍

    介绍常用命令,在忘记时便于即使查询 复制.移动.删除     cp.mv.rm.pwd 1. CP 介绍 用法:CP [-adfilprsu]  源文件  目标文件 参数:参数说明: -a:是指arc ...

  5. IE下get方式传中文参数乱码解决方法

    乱码原因:浏览器在传递url的时候,会使用自己的编码格式对地址进行编码,如果浏览器所使用编码与服务器采用编码不一致,服务器接收到的参数就会出现乱码.在firefox,chrome下正常,ie下会出现乱 ...

  6. B. Menci 的序列

    题解: 首先subtask1直接状压暴力就好 subtask2我的处理和题解不太一样 仍然正向考虑 设i的时候有最高位为j,那么这个时候数一定越大越好(这个比较好yy) 然后$f[i][j]$搞个高精 ...

  7. Cocos坐标之convertToNodeSpace、convertToWorldSpace、convertToNodeSpaceAR、convertToWorldSpaceAR区别和用法

    convertToNodeSpace.convertToWorldSpace.convertToNodeSpaceAR.convertToWorldSpaceAR,在他们的下一层看到下面的注释: /* ...

  8. Virtual box中Ubuntu虚拟机磁盘碎片整理和空间清理方法

    虚拟机中,随着不断的使用,增加大文件(例如日志,视频和软件版本),虽然在虚拟机中手动删除了,但是虚拟机占用的空间并不会随之减少,需要手动清理一下. 这里介绍一种Virtual box中Ubuntu碎片 ...

  9. Excel—宏表函数

    首先有一个知识点,宏表函数是不能直接在单元格中写公式的,需要先定义一个名称(“公式”选项卡——“定义名称”),然后在“定义名称”中的“定义位置”中写入宏表函数. GET.CELL(调取单元格信息的函数 ...

  10. bs4解析库

    beautifulsoup4 bs4解析库是灵活又方便的网页解析库,处理高效,支持多种解析器.利用它不用编写正则表达式即可方便地实现网页的提取 要解析的html标签 from bs4 import B ...