在ASP.NET MVC中使用web.config的內容安全策略標頭列表保護

Question

例如我在項目中管理的圖像文件Webconfig文件

例如404Javascript.js面臨的問題的圖像文件，我在現有的ASP.NET MVC項目中面臨以下內容安全策略問題。

我們使用https://sitecheck.sucuri.net/來檢查安全掃描

問題-安全標題

XSS Protection缺少安全標頭。 受影響的頁面：

缺少安全標頭以防止內容類型嗅探。 受影響的頁面：

缺少Strict-Transport-Security安全標頭。 受影響的頁面：

顯示默認服務器橫幅。 您的網站正在顯示您的Web服務器默認橫幅。 受影響的頁面：
https://www.example.com/404javascript.js
https://www.example.com/404testpage4525d2fdc

我們正在嘗試使用具有以下配置的網絡配置文件來解決該問題：

<customHeaders>
  <remove name="X-Powered-By" />
  <add name="X-Frame-Options" value="DENY" />
  <add name="X-Xss-Protection" value="1; mode=block" />
  <add name="X-Content-Type-Options" value="nosniff" />
  <add name="Referrer-Policy" value="no-referrer" />
  <add name="X-Permitted-Cross-Domain-Policies" value="none" />
  <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
  <add name="Feature-Policy" value="accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'" />
</customHeaders>

<httpRuntime targetFramework="4.6.1" maxRequestLength="1048576"  
             requestValidationMode="4.0" executionTimeout="110" 
             enableVersionHeader="false" />

但是，在更改配置后，我們仍然面臨着同樣的問題，請查看我們的處理過程中出現的錯誤或任何其他解決方案。

Answer 1

確保在system.webserver部分而不是system.web部分中添加自定義標頭標記：

<system.webServer>
  <httpProtocol>
    <customHeaders>

      <add name="X-Frame-Options" value="SAMEORIGIN" />

      <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains"/>

      <add name="X-XSS-Protection" value="1; mode=block" />

      <add name="X-Content-Type-Options" value="nosniff" />

      <add name="Content-Security-Policy" value="default-src 'self'; font-src *;img-src * data:; script-src *; style-src *;" />

      <add name="Referrer-Policy" value="strict-origin" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

更改后，重新啟動iis服務器。