ASP.NET Security Headers

前言

Browser 可以透過 Http Header 來啟用一些保護機制,所以可以透過設定這些 Header 來讓我們的 Web Application 更安全。
要測試網頁的安全性 Header 是否有設定可以到 https://securityheaders.com/ 這個網站來掃看看。

實作

如果在 Local 開發沒有對外的話,可以透過 ngrok 來建立對外的 url。
例如我的網站是 localhost:44375 ,那在 Command 視窗中輸入 ngrok http -host-header=”localhost:44375” 44375 ,它就會幫我建立對外的網站

再來透過 https://securityheaders.com/ 來掃,

從上面可以發現很多 Header 都沒有設定,所以可以參考它下面說明去設定它。

其中的 Content-Security-Policy 它的設定很多,所以可以透過 https://report-uri.com/home/generate 來幫我們建立想要的 csp 的值,如下圖

在防 Clickjacking 時,目前我們是設定 X-Frame-Options ,透過 CSP 設定 frame-ancestors 也是一樣的,如果 Browser 有 Support CSP 的話,請優先設定 CSP 的 frame-ancestors。
Clickjacking 就是惡意的網站透過 iframe 把我們的網站放進去他們的網站之中,通常將它設定成透明的,如下,

當設定了 X-Frame-Options 後,在惡意網站中,就不會顯示我們的網站,如下,

最後加了以下的 Security Headers ,大家可以參考一下,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <remove name="X-Powered-By" />
                <add name="X-XSS-Protection" value="1; mode:block"/>
                <add name="X-Frame-Options" value="SAMEORIGIN" />
                <add name="Content-Security-Policy" value="default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; frame-src 'self'; frame-ancestors 'self';" />
                <add name="X-Content-Type-Options" value="nosniff"/>
                <add name="Feature-Policy" value="camera 'none'"/>
                <add name="Referrer-Policy" value="origin"/>
                <add name="Strict-Transport-Security" value="max-age=31536000;includeSubDomains"/>
            </customHeaders>
        </httpProtocol>
        <security>
            <requestFiltering removeServerHeader="true" />
        </security>
    </system.webServer>
    <system.web>
        <httpRuntime
            enableVersionHeader="false" />
    </system.web>
</configuration>

在引用 CDN 的 js, css 時,現在都會有 integrity ,它是引用檔案的 Hash 值,可以避免引用檔案被竄改.
Referrer-Policy 除了直接設定在 Header 那,在 A Link 也可以透過 rel 設定,例如 rel=”noreferrer

最後有調整了 Headers 後,網站評等從 F 變成了 A ,

參考網站

Security Headers
Content-Security-Policy Generate
What You Need to Know about rel=”noreferrer” Attribute
Can I use

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw