内容安全策略(CSP)是一个增加的安全层,可帮助检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到站点破坏或恶意软件分发的所有内容(深入CSP

简而言之,CSP是网页控制允许加载哪些资源的一种方式。例如,页面可以显式声明允许从中加载JavaScript,CSS和图像资源。这有助于防止跨站点脚本(XSS)攻击等问题。

它也可用于限制协议,例如限制通过HTTPS加载的内容。CSP通过 Content-Security-Policy HTTP响应中的标头实现。

启用CSP,您需要配置Web服务器以返回Content-Security-PolicyHTTP标头。那么在这篇文章中,我们将要尝试将CSP添加到ASP.NET Core应用程序中。

app.Use(async (ctx, next) =>

            {

                ctx.Response.Headers.Add("Content-Security-Policy",

                            "default-src 'self'; report-uri /cspreport");

                await next();

            });

  在Home/Index中引入cdn文件,然后我们启动项目,看看会发生什么!

运行并观察错误。加载页面时,浏览器拒绝从远程源加载。

所以我们可以组织CSP来控制我们的白名单,在配置当中需要填写来源以及内容,以下是常用限制的选项。

来源:

*: 允许任何网址。

‘self’: 允许所提供页面的来源。请注意,单引号是必需的。

‘none’: 不允许任何来源。请注意,单引号是必需的。

Host: 允许指定的互联网主机(按名称或IP地址)。通配符(星号字符)可用于包括所有子域,例如http://*.foo.com

‘unsafe-line’: 允许内联脚本

‘nonce-[base64-value]’: 允许具有特定nonce的内联脚本(使用一次的数字)。对于每个HTTP请求/响应,应该对nonce进行加密和唯一。

指令:

script-src:定义有效的JavaScript源

style-src:定义样式表的有效来源

img-src:定义有效的图像源

connect-src:定义可以进行AJAX调用的有效源

font-src:定义有效的字体来源

object-src:定义<object>,<embed>和<applet>元素的有效源

media-src:定义有效的音频和视频源

form-action:定义可用作HTML <form>操作的有效源。

default-src:指定加载内容的默认策略

我们可以在可重用的中间件中封装构建和添加CSP头。以下是一个让您入门的示例。你可以根据需要扩展它。首先,创建一个用于保存源的类。

public class CspOptions

    {

        public List<string> Defaults { get; set; } = new List<string>();

        public List<string> Scripts { get; set; } = new List<string>();

        public List<string> Styles { get; set; } = new List<string>();

        public List<string> Images { get; set; } = new List<string>();

        public List<string> Fonts { get; set; } = new List<string>();

        public List<string> Media { get; set; } = new List<string>();

    }

开发一个中间件一定是需要一个构造器的,这将用于.net core 的注入到运行环境中。

public sealed class CspOptionsBuilder

 {

     private readonly CspOptions options = new CspOptions();  

     internal CspOptionsBuilder() { }  

     public CspDirectiveBuilder Defaults { get; set; } = new CspDirectiveBuilder();

     public CspDirectiveBuilder Scripts { get; set; } = new CspDirectiveBuilder();

     public CspDirectiveBuilder Styles { get; set; } = new CspDirectiveBuilder();

     public CspDirectiveBuilder Images { get; set; } = new CspDirectiveBuilder();

     public CspDirectiveBuilder Fonts { get; set; } = new CspDirectiveBuilder();

     public CspDirectiveBuilder Media { get; set; } = new CspDirectiveBuilder();  

     internal CspOptions Build()

     {

         this.options.Defaults = this.Defaults.Sources;

         this.options.Scripts = this.Scripts.Sources;

         this.options.Styles = this.Styles.Sources;

         this.options.Images = this.Images.Sources;

         this.options.Fonts = this.Fonts.Sources;

         this.options.Media = this.Media.Sources;

         return this.options;

     }

 }  

 public sealed class CspDirectiveBuilder

 {

     internal CspDirectiveBuilder() { }  

     internal List<string> Sources { get; set; } = new List<string>();  

     public CspDirectiveBuilder AllowSelf() => Allow("'self'");

     public CspDirectiveBuilder AllowNone() => Allow("none");

     public CspDirectiveBuilder AllowAny() => Allow("*");  

     public CspDirectiveBuilder Allow(string source)

     {

         this.Sources.Add(source);

         return this;

     }

 }

好了,我们创建一个中间件。

namespace XSSDefenses.XSSDefenses.MiddlerWare

{

    public sealed class CspOptionMiddlerWare

    {

        private const string HEADER = "Content-Security-Policy";

        private readonly RequestDelegate next;

        private readonly CspOptions options;

        public CspOptionMiddlerWare(

            RequestDelegate next, CspOptions options)

        {

            this.next = next;

            this.options = options;

        }

        public async Task Invoke(HttpContext context)

        {

            context.Response.Headers.Add(HEADER, GetHeaderValue());

            await this.next(context);

        }

        private string GetHeaderValue()

        {

            var value = "";

            value += GetDirective("default-src", this.options.Defaults);

            value += GetDirective("script-src", this.options.Scripts);

            value += GetDirective("style-src", this.options.Styles);

            value += GetDirective("img-src", this.options.Images);

            value += GetDirective("font-src", this.options.Fonts);

            value += GetDirective("media-src", this.options.Media);

            return value;

        }

        private string GetDirective(string directive, List<string> sources)

            => sources.Count >  ? $"{directive} {string.Join(" ", sources)}; " : "";

    }

}

以及设置它的扩展方法。

namespace XSSDefenses.XSSDefenses.Extensions

{

    public static class CspMiddlewareExtensions

    {

        public static IApplicationBuilder UseCsp(

             this IApplicationBuilder app, Action<CspOptionsBuilder> builder)

        {

            var newBuilder = new CspOptionsBuilder();

            builder(newBuilder);

            var options = newBuilder.Build();

            return app.UseMiddleware<CspOptionMiddlerWare>(options);

        }

    }

}

我们现在可以在Startup类中配置中间件。

app.UseCsp(builder =>

            {

                builder.Styles.AllowSelf()

                .Allow(@"https://ajax.aspnetcdn.com/");

            });

启动发现,观察网络资源。浏览器已经允许本地和远程资源。

Github地址 https://github.com/zaranetCore/-.NET-Core-And-XSSDefensesSolucation

ASP.NET Core中使用Csp标头对抗Xss攻击的更多相关文章

  1. 项目开发中的一些注意事项以及技巧总结 基于Repository模式设计项目架构—你可以参考的项目架构设计 Asp.Net Core中使用RSA加密 EF Core中的多对多映射如何实现? asp.net core下的如何给网站做安全设置 获取服务端https证书 Js异常捕获

    项目开发中的一些注意事项以及技巧总结   1.jquery采用ajax向后端请求时,MVC框架并不能返回View的数据,也就是一般我们使用View().PartialView()等,只能返回json以 ...

  2. ASP.NET Core 中文文档 第三章 原理(6)全球化与本地化

    原文:Globalization and localization 作者:Rick Anderson.Damien Bowden.Bart Calixto.Nadeem Afana 翻译:谢炀(Kil ...

  3. 在ASP.NET Core中使用brotli压缩

    Brotli是一种全新的数据格式,可以提供比Zopfli高20-26%的压缩比.据谷歌研究,Brotli压缩速度同zlib的Deflate实现大致相同,而在Canterbury语料库上的压缩密度比LZ ...

  4. ASP.NET Core 中 HttpContext 详解与使用 | Microsoft.AspNetCore.Http 详解 (转载)

    “传导体” HttpContext 要理解 HttpContext 是干嘛的,首先,看图 图一 内网访问程序 图二 反向代理访问程序 ASP.NET Core 程序中,Kestrel 是一个基于 li ...

  5. ASP.NET Core 中 HttpContext 详解与使用 | Microsoft.AspNetCore.Http 详解

    笔者没有学 ASP.NET,直接学 ASP.NET Core ,学完 ASP.NET Core MVC 基础后,开始学习 ASP.NET Core 的运行原理.发现应用程序有一个非常主要的 “传导体” ...

  6. (6)ASP.NET Core 中使用IHttpClientFactory发出HTTP请求

    1.HttpClient类使用存在的问题 HttpClient类的使用所存在的问题,百度搜索的文章一大堆,好多都是单纯文字描述,让人感觉不太好理解,为了更好理解HttpClient使用存在的问题,下面 ...

  7. (5)ASP.NET Core 中的静态文件

    1.前言 当我们创建Core项目的时候,Web根目录下会有个wwwroot文件目录,wwwroot文件目录里面默认有HTML.CSS.IMG.JavaScript等文件,而这些文件都是Core提供给客 ...

  8. 第十四节:Asp.Net Core 中的跨域解决方案(Cors、jsonp改造、chrome配置)

    一. 整体说明 1. 说在前面的话 早在前面的章节中,就详细介绍了.Net FrameWork版本下MVC和WebApi的跨域解决方案,详见:https://www.cnblogs.com/yaope ...

  9. ASP.NET Core中的响应压缩

    介绍     响应压缩技术是目前Web开发领域中比较常用的技术,在带宽资源受限的情况下,使用压缩技术是提升带宽负载的首选方案.我们熟悉的Web服务器,比如IIS.Tomcat.Nginx.Apache ...

随机推荐

  1. 我是这样一步步理解--主题模型(Topic Model)、LDA

    1. LDA模型是什么 LDA可以分为以下5个步骤: 一个函数:gamma函数. 四个分布:二项分布.多项分布.beta分布.Dirichlet分布. 一个概念和一个理念:共轭先验和贝叶斯框架. 两个 ...

  2. 手写C语言字符库

    鉴于以前碰到过很多这样的题目,甚至上次月考核也考了,马上就要考试了,就再重新写一遍,加深印象,但是肯定和库函数有区别,丢失许多细节 1.strlen函数(求字符串长度) int strlen(char ...

  3. nginx 301跳转https后post请求失效问题解决

    app本地请求是http端口,后来升级https强制301跳转,设置如下 server { listen 80; server name www.XXX.com; rewrite ^/(.*)$ ht ...

  4. HelloDjango 系列教程:第 04 篇:Django 迁移、操作数据库

    文中涉及的示例代码,已同步更新到 HelloGitHub-Team 仓库 我们已经编写了博客数据库模型的代码,但那还只是 Python 代码而已,django 还没有把它翻译成数据库语言,因此实际上这 ...

  5. KD-tree 专题「Hide and Seek · 巧克力王国」

    Lockey的瞎理解 抄了一遍板子又水了俩题,感觉对KD-tree 稍稍理解了一点儿,唠叨一下(二维的KD-tree),如有错误请指出(Lockey 洗脸恭听) 普通平衡树维护的是一维的序列,但对于二 ...

  6. DataOps系列丨数据的“资产负债表”与“现状”

    作者:DataPipeline CEO 陈诚 <跨越鸿沟>的作者Geoffrey Moore曾说“没有数据,运营企业就像一个又聋又瞎的人在高速上开车一样”.数据的价值从未像现在这样被企业重 ...

  7. Drawable 使用详解

    极力推荐文章:欢迎收藏 Android 干货分享 阅读五分钟,每日十点,和您一起终身学习,这里是程序员Android Drawable 是Android 中图像显示的常用方法. 概念:Drawable ...

  8. 记录eclipse中文出现空格宽度不一致的bug

    起因 不久前更新了 eclipse(2019-03) 版本:突然发现出现了,使用注释使用中出现的空格的间隔大小不一致的问题,具体可以看下图: 遇到这种问题简直逼不能忍,在网上搜一下解决方式: 谷歌 搜 ...

  9. 如何用Hexo+Github创建自己的技术博客

    注册一个github GitHub官网.按照一般的网站注册登录执行就好了,不详细说. 安装git 安装很简单,一直下一步 git安装教程 很多教程里都说要配置环境变量,我本人安装过5次左右的git,一 ...

  10. [原创实践]IBM thinkpad T61制作和使用recovery光盘进行出厂系统恢复

    制作系统恢复盘 之前制作了系统恢复光盘,包含Product recovery 光盘1和光盘2,rescure and recovery光盘. 联想笔记本XP系统有一个硬盘分区是用来做恢复的,双击硬盘即 ...