SecurityHeaders:为.Net网站添加安全标头,让Web更加安全、避免攻击!

于 2024-08-31 08:01:20 发布
阅读量7 收藏
点赞数
文章标签: 安全 前端
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654099987&idx=1&sn=7ac76982fbcdb5f4caddb0c8e1bd3045&chksm=81120471daf98cb27134f0c5e0b28b8906690bbdb268c156e69a9d8bbd9e5006b604679fc34f&scene=126&sessionid=0
版权

网站的安全对于任何一家公司都是非常重要的。

为了保证Web安全,其中Http安全标头就是非常重要一个的措施。设定正确的安全头可以增强网站的安全性,因为它们可以帮助防止各种网络攻击,如跨站脚本(XSS)、点击劫持(Clickjacking)和内容类型嗅探(Content Type Sniffing)等。

下面推荐一个开源项目,可以让我们轻松地添加安全相关的HTTP头到网站中。

01

项目简介

NetEscapades.AspNetCore.SecurityHeaders 是一个轻便的的 ASP.NET Core 开源库,旨在方便开发者向 ASP.NET Core 网站添加安全头(Security Headers)。

该库提供了一套默认的安全头,都是非常常见的,这些头被广泛应用于提高网站的安全性。

02

核心功能与特点

1、提供默认安全头

X-Content-Type-Options: nosniff:防止浏览器尝试“嗅探”响应的内容类型。

Strict-Transport-Security:max-age=31536000; includeSubDomains(仅HTTPS响应):强制浏览器通过HTTPS与服务器建立连接。

X-Frame-Options: Deny(仅“document”响应):防止网站被嵌入到iframe中。

X-XSS-Protection: 1; mode=block(仅“document”响应):启用浏览器的XSS过滤器。

Referrer-Policy: strict-origin-when-cross-origin:控制HTTP请求的Referer头部。

Content-Security-Policy(CSP):定义哪些动态资源是允许的,帮助防止XSS攻击等。

2、自定义安全头:开发者可以根据需要自定义安全头。

3、内容安全策略(CSP):精细控制哪些外部资源(如脚本、样式表、图片等)可以被加载到网页上。

4、权限策略(Permissions Policy):控制的是浏览器特性和API的使用,而不是资源加载。通过Permissions Policy,开发者可以确保敏感API(如地理位置、摄像头等)不会被滥用。

5、Nonce和哈希:对于需要内联脚本或样式的情况,CSP支持使用Nonce(一次性数字)或哈希值来允许这些内联内容。

6、灵活性:可以根据需要启用或禁用特定的安全头,或者调整它们的配置,以满足不同的安全需求。

7、集成简单:该库通过中间件的形式集成到ASP.NET Core应用中,只需一行代码就可以轻松集成。

03

使用方法

1、默认安全头

app.UseSecurityHeaders();

2、自定义安全头

// 创建一个新的HeaderPolicyCollection实例,用于配置安全头部  
var policyCollection = new HeaderPolicyCollection()  
    // 添加X-Frame-Options头部,设置为DENY,防止网站被嵌入到iframe中  
    .AddFrameOptionsDeny()  
    // 添加X-XSS-Protection头部,设置为BLOCK,尝试阻止跨站脚本攻击  
    .AddXssProtectionBlock()  
    // 添加X-Content-Type-Options头部,设置为nosniff,防止浏览器尝试基于内容“嗅探”响应的内容类型  
    .AddContentTypeOptionsNoSniff()  
    // 添加Strict-Transport-Security头部,设置max-age为一年(秒为单位),并包含所有子域  
    // 这要求浏览器仅通过HTTPS与服务器通信  
    .AddStrictTransportSecurityMaxAgeIncludeSubDomains(maxAgeInSeconds: 60 * 60 * 24 * 365) // maxage = one year in seconds  
    // 添加Referrer-Policy头部,设置为strict-origin-when-cross-origin  
    // 这控制了在跨源请求中是否发送Referer头部,以及发送多少信息  
    .AddReferrerPolicyStrictOriginWhenCrossOrigin()  
    // 移除Server头部,以减少信息泄露  
    .RemoveServerHeader()  
    // 添加Content-Security-Policy头部,配置详细的资源加载策略  
    .AddContentSecurityPolicy(builder =>  
    {  
        // 禁止从任何源加载对象(如插件)  
        builder.AddObjectSrc().None();  
        // 仅允许表单操作(如提交)到同一源  
        builder.AddFormAction().Self();  
        // 禁止将当前页面作为frame的祖先  
        builder.AddFrameAncestors().None();  
    })  
    // 添加Cross-Origin-Opener-Policy头部,设置为same-origin  
    // 这控制了哪些文档可以通过window.open(), window.createPopup(), 或类似的方法打开  
    .AddCrossOriginOpenerPolicy(builder =>  
    {  
        builder.SameOrigin();  
    })  
    // 添加Cross-Origin-Embedder-Policy头部,设置为require-corp  
    // 这要求嵌入的文档通过COEP报头声明它们是COOP兼容的  
    .AddCrossOriginEmbedderPolicy(builder =>  
    {  
        builder.RequireCorp();  
    })  
    // 添加Cross-Origin-Resource-Policy头部,设置为same-origin  
    // 这控制了哪些源可以加载资源(如图片、脚本等)  
    .AddCrossOriginResourcePolicy(builder =>  
    {  
        builder.SameOrigin();  
    })  
    // 添加自定义的HTTP头部  
    .AddCustomHeader("X-My-Test-Header", "Header value");  


// 使用配置好的安全头部策略  
app.UseSecurityHeaders(policyCollection);

3、移除服务器响应标头

var host = new WebHostBuilder()
    .UseKestrel(options => options.AddServerHeader = false)

4、内容安全策略

// 创建一个HeaderPolicyCollection实例,用于定义和管理HTTP响应的安全头  
var policyCollection = new HeaderPolicyCollection()  
    .AddContentSecurityPolicy(builder =>  
    {  
        // 添加策略以自动将不安全的请求(如HTTP)升级到HTTPS  
        builder.AddUpgradeInsecureRequests(); // upgrade-insecure-requests  


        // 阻止所有混合内容(HTTPS页面中的HTTP资源)  
        builder.AddBlockAllMixedContent(); // block-all-mixed-content  


        // 指定用于接收CSP违规报告的URI  
        builder.AddReportUri() // report-uri: https://report-uri.com  
            .To("https://report-uri.com");  


        // 定义默认的源策略,仅允许加载当前来源和http://testUrl.com的资源  
        builder.AddDefaultSrc() // default-src 'self' http://testUrl.com  
            .Self() // 仅允许加载来自相同源的资源  
            .From("http://testUrl.com"); // 允许加载来自http://testUrl.com的资源  


        // 定义允许连接的源  
        builder.AddConnectSrc() // connect-src 'self' http://testUrl.com  
            .Self() // 允许与当前源建立连接  
            .From("http://testUrl.com"); // 允许与http://testUrl.com建立连接  


        // 定义允许加载的字体源  
        builder.AddFontSrc() // font-src 'self'  
            .Self(); // 仅允许加载来自相同源的字体  


        // 禁止通过<object>、<embed>或<applet>标签加载资源  
        builder.AddObjectSrc() // object-src 'none'  
            .None(); // 禁用<object>、<embed>或<applet>  


        // 定义表单动作源,即限制哪些源可以处理表单提交  
        builder.AddFormAction() // form-action 'self'  
            .Self(); // 仅允许表单提交到当前源  


        // 定义图片资源只能来自HTTPS源  
        builder.AddImgSrc() // img-src https:  
            .OverHttps(); // 仅允许HTTPS协议的图片资源  


        // 定义脚本资源策略,允许加载来自相同源的脚本,允许内联脚本和eval,并报告样本  
        builder.AddScriptSrc() // script-src 'self' 'unsafe-inline' 'unsafe-eval' 'report-sample'  
            .Self() // 允许加载来自相同源的脚本  
            .UnsafeInline() // 允许内联脚本  
            .UnsafeEval() // 允许使用eval()等函数  
            .ReportSample(); // 报告脚本样本以供审查  


        // 定义样式资源策略,允许加载来自相同源的样式,并启用严格动态检查  
        builder.AddStyleSrc() // style-src 'self' 'strict-dynamic'  
            .Self() // 允许加载来自相同源的样式  
            .StrictDynamic(); // 启用严格动态检查  


        // 定义媒体资源只能来自HTTPS源  
        builder.AddMediaSrc() // media-src https:  
            .OverHttps(); // 仅允许HTTPS协议的媒体资源  


        // 定义可以嵌入当前页面的框架的源,此处禁用所有框架嵌入  
        builder.AddFrameAncestors() // frame-ancestors 'none'  
            .None(); // 禁止任何源嵌入当前页面  


        // 定义基准URI,限制页面内基础URI(如<base>标签)的来源  
        builder.AddBaseUri() // base-uri 'self'  
            .Self(); // 仅允许基础URI与当前源相同  


        // 定义可以嵌入<frame>、<iframe>、<object>、<embed>或<applet>的源  
        builder.AddFrameSource() // frame-src http://testUrl.com  
            .From("http://testUrl.com"); // 允许嵌入来自http://testUrl.com的框架  


        // 添加自定义指令,例如限制允许的插件类型  
        builder.AddCustomDirective("plugin-types", "application/x-shockwave-flash"); // 限制只允许Flash插件  


    })  
    // 添加自定义HTTP头  
    .AddCustomHeader("X-My-Test-Header", "Header value");  


// 使用定义好的安全头策略  
app.UseSecurityHeaders(policyCollection);

5、权限策略

// 创建一个HeaderPolicyCollection实例,用于存储和配置各种安全策略  
var policyCollection = new HeaderPolicyCollection()  
    // 添加Permissions Policy(功能策略),用于控制网页可以使用哪些Web功能  
    .AddPermissionsPolicy(builder =>  
    {  
        // 允许页面从自身源('self')或指定的URL(http://testUrl.com)访问加速度计  
        builder.AddAccelerometer()  
            .Self()  
            .For("http://testUrl.com");  


        // 允许页面从自身源访问环境光传感器  
        builder.AddAmbientLightSensor()  
            .Self()  
            .For("http://testUrl.com");  


        // 允许页面自动播放媒体内容,仅从自身源  
        builder.AddAutoplay()  
            .Self();  


        // 禁止页面访问摄像头  
        builder.AddCamera()  
            .None();  


        // 允许页面从自身源加载加密媒体  
        builder.AddEncryptedMedia()  
            .Self();  


        // 允许页面全屏模式,对所有源  
        builder.AddFullscreen()  
            .All();  


        // 禁止页面访问地理位置  
        builder.AddGeolocation()  
            .None();  


        // 禁止页面访问陀螺仪  
        builder.AddGyroscope()  
            .None();  


        // 禁止页面访问磁力计  
        builder.AddMagnetometer()  
            .None();  


        // 禁止页面访问麦克风  
        builder.AddMicrophone()  
            .None();  


        // 禁止页面访问MIDI设备  
        builder.AddMidi()  
            .None();  


        // 禁止页面执行支付请求  
        builder.AddPayment()  
            .None();  


        // 禁止页面使用画中画模式  
        builder.AddPictureInPicture()  
            .None();  


        // 禁止页面访问扬声器  
        builder.AddSpeaker()  
            .None();  


        // 禁止页面执行同步XHR请求  
        builder.AddSyncXHR()  
            .None();  


        // 禁止页面访问USB设备  
        builder.AddUsb()  
            .None();  


        // 禁止页面访问VR设备  
        builder.AddVR()  
            .None();  


        // 添加自定义功能策略,例如限制Flash插件的使用  
        builder.AddCustomFeature("plugin-types", "application/x-shockwave-flash");  


        // 添加自定义的iframe策略,允许从自身源或指定URL加载iframe  
        builder.AddCustomFeature("iframe")  
            .Self()  
            .For("http://testUrl.com");  
    });  


// 应用前面定义的安全策略头部到应用程序响应中  
app.UseSecurityHeaders(policyCollection);

04

项目地址

https://github.com/andrewlock/NetEscapades.AspNetCore.SecurityHeaders

觉得好看 点个在看👇

dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP Security Header Not Detected未检测到HTTP安全标头
05-18 1298
遇到此安全问题,只需修改Web.config文件。 如: 未处理之前配置代码如下: <httpProtocol> <customHeaders> <add name="X-UA-Compatible" value="IE=Edge" /> </custom...
一系列令人敬畏的.NET核心库,工具,框架和软件
weixin_30530939的博客
06-17 3288
内容 一般 框架,库和工具 API 应用框架 应用模板 身份验证和授权 Blockchain 博特 构建自动化 捆绑和缩小 高速缓存 CMS 代码分析和指标 压缩 编译器,管道工和语言 加密 数据库 数据库驱动 数据库工具和实用程序 日期和时间 分布式计算 电子商务和支付 例外 功能编程 图像 GUI IDE 国际化 国际奥林匹克委...
添加expires标头_轻松向您的ASP.NET Core Web应用添加安全标头并获得A级
cunfuxiao7305的博客
10-14 538
Well that sucks.好糟糕。 That's my podcast website with an F rating from SecurityHeaders.com. What's the deal? I took care of this months ago! 那是我的播客网站,获得SecurityHeaders.com的F评级。 这是怎么回事? 我几个月前已经照顾好了! Tur...
如何创建内容安全策略(CSP 标头
allway2的博客
07-17 4158
script-src'self''unsafe-inline''unsafe-eval';add_headerPermissions-Policy"camera=(),fullscreen=(self),geolocation=(),magnetometer=(),mic=(),midi=(),payment=(),sync-xhr=(),usb=(),扬声器选择=()";您可能还希望在临时站点上执行此操作,并暂时不理会您的生产网站,直到您确定您的CSP已准备就绪。此命令还创建功能策略。...
Github上优秀的.NET Core开源项目的集合
paolei的笔记
10-01 4330
内容包括:库、工具、框架、模板引擎、身份认证、数据库、ORM框架、图片处理、文本处理、机器学习、日志、代码分析、教程等。 Github地址:https://github.com/GeekPowerFelixSun,[awesome-dotnet-core] 其中的翻译有可能有问题,大家发现了及时提出来,其他的比较好的项目也可以提出来,我会及时添加修改上去的。 一般 ASP.NET Core Documentation- 官方ASP.NET核心文档站点。 .NET Core Documentati.
BizTalk Server 2006 Web 服务
公主笔记(快乐的蓝精灵)
05-15 879
BizTalk Server 2006 的构建基于一个灵活的消息传送子系统,该系统可改善异类应用程序之间联系松散的消息传送交互。消息传送层可提供许多集成的益处,如消息路由、架构变换和格式转换。消息传送层的核心是一个被称为 MessageBox 的 SQL Server™ 数据库。由消息传送层处理的所有消息都要经过 MessageBox,以进行路由选择、跟踪和错误的处理。MessageBox 的运行
天蓝色在ps中的色值_天蓝色devsecops管道Web配置
weixin_26636643的博客
08-14 333
天蓝色在ps中的色值Content Security Policies & The Occasional Silent Failure 内容安全策略和偶发的静默故障 The Preface 前言 Forewarned, this one got away from me a little! It covers the usage of ‘Best Practice’ Web-Serve...
gatsby_使用Gatsby,React和Netlify轻松搞定JAM
culiu9261的博客
07-20 1051
gatsbyGatsby is a tool for creating static websites with React. It allows you to pull your data from virtually anywhere: content management systems (CMSs), Markdown files, APIs, and databases. Gatsby ...
网站被黑的一次经历
smxdgf的博客
04-25 863
看了《和黑客斗争的 6 天!》(https://blog.csdn.net/ityouknow/article/details/104666810?ops_request_misc=&request_id=&biz_id=102&utm_source=distribute.pc_search_result.none-task-blog-2allsobaiduweb~defa...
NetEscapades.AspNetCore.SecurityHeaders, 允许向 ASP.NET 核心网站添加安全标头的小软件包.zip
09-17
NetEscapades.AspNetCore.SecurityHeaders, 允许向 ASP.NET 核心网站添加安全标头的小软件包 NetEscapades.AspNetCore.SecurityHeaders 允许向 ASP.NET 核心网站添加安全标头的小软件包安装使用来自 Visual Studio ...
RWD.Toolbox.Ui.Middleware:.NET核心工具,用于将CSP和其他安全标题添加Web应用程序
02-21
RWD.Toolbox.Ui.Middleware.SecurityHeaders 一个.NET Core库,可帮助编写HTML安全标头。 RWD.Toolbox.Ui.Middleware.CspHeader 一个.NET Core库,可帮助编写HTML内容安全标头。 快速入门说明 v1.0.0.1 命名空间...
https安全設定大全
04-02
在数字化转型的背景下,网站安全性成为了企业和个人必须重视的问题之一。HTTPS(Hyper Text Transfer Protocol Secure)作为HTTP的安全版本,通过SSL/TLS协议为数据传输提供了加密保护,有效防止了中间人攻击等...
security-headers:JS可以部署为Cloudflare辅助脚本来修改标头
05-23
可以部署为Cloudflare辅助脚本的JS,用于修改标头以增强安全性 检查-以获取更多详细信息 对于通过Cloudflare服务的网站,您可以使用此处包含的脚本修改标题。 您可以更改标头值[1],添加标头[1]或删除现有标头[2]...
【网络安全】网络安全中的常见攻击方式:被动攻击、主动攻击与中间人攻击
一定要站在自己热爱的生活里闪闪发光
08-27 409
在信息化时代,网络安全已经成为企业和个人都非常关注的领域。无论是个人隐私还是企业机密,随着互联网的广泛应用,保护这些信息免受攻击变得越来越重要。攻击者通过各种方式试图获取、篡改或破坏信息,这些方式大致可以分为被动攻击、主动攻击和中间人攻击三类。了解这些攻击方式有助于我们更好地保护自己的信息安全
证券行业加密业务安全风险监测与防御技术研究
qq_61863348的博客
08-27 1144
摘要:解决证券⾏业加密流量威胁问题、加密流量中的应⽤⻛险问题,对若⼲证券⾏业的实际流量内容进⾏调研分析, 分析了证券⾏业加密流量⾯临的合规性⻛险和加密协议及证书本⾝存在的⻛险、以及可能存在的外部加密流量威 胁,并提出防御策略和措施。关键字:证券加密业务、加密应用、加密流量、商用密码安全评估、加密风险、加密威胁、监测防御数据爆发式增长的DT(Data technology)时代,加密技术是数据传输的重要保护手段。随着互联网和企业内部流量场景的加密化趋势快速增长,证券行业也面临着更加迫切的加密需求。证券行业涉及
需方软件供应链安全保障要求及开源场景对照自评表(上)
LJQClqjc的博客
08-27 261
开源软件供应链作为软件供应链的一种特殊形式,该国标亦适用于指导开源软件供应链中的供需双方开展组织管理和供应活动管理,增强开源软件供应链组织管理和供应活动管理能力,防范供应链导致的开源软件产品及其生命周期中断类的供应关系风险,防止供应活动在开源软件及其生命周期服务中引入新的技术安全风险和知识产权风险(例如:防止供应活动引入的软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行。以下根据我们的分析研究,对国标中与开源供应链安全直接相关的内容进行识别与分析,供业内参考。
Web3开发与安全:6个月高效学习路径
最新发布
weixin_47075747的博客
08-30 624
这份计划应该能帮助你系统地学习智能合约开发和安全审计技能,同时克服英语的障碍。
HarmonyOS(52) 使用安全控件SaveButton保存图片
菜鸟博客
08-30 389
SaveButton 安全控件说明
如何测试X-Content-Type -Options是否成功开启
06-06
要测试 X-Content-Type-Options 是否成功开启,可以使用以下方法: 1. 在浏览器中访问目标网站。 2. 使用浏览器的开发者工具(比如 Chrome 的开发者工具),查看该网站的响应头部信息。 3. 在响应头部信息中查找 X-Content-Type-Options 头部。 4. 如果 X-Content-Type-Options 头部的值为 "nosniff",则表示该安全头部已经成功开启。 另外,可以使用一些在线工具来测试 X-Content-Type-Options 是否成功开启,比如 SecurityHeaders.com 和 SecurityHeaders.io。这些工具会对目标网站进行安全扫描,并返回该网站是否开启了 X-Content-Type-Options 等安全头部。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值