Benutzer:MovGP0/ASP.NET Core/CSP

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
   MovGP0        Über mich        Hilfen        Artikel        Weblinks        Literatur        Zitate        Notizen        Programmierung        MSCert        Physik      
Programmierung
ASP.NET
Common

OWIN • Razor • WebForms • MVC • WebAPI

Core

Configuration • Data Protection API • Dependency Injection • Routing

Attack Vectors

HTTPS • HSTS • HPKP • CSP • CSRF • Anti-XSS • CORS • Open Redirection • Click-Jacking

Libraries

OpenID • Azure AD


Content Security Policy (CSP)

[Bearbeiten | Quelltext bearbeiten]
  • Allow content loading only from specified domains
Http-Header Loading
script-src JavaScript
style-src CSS-Files
img-src Images
media-src Audio/Video
frame-src Frames
font-src Fonts
default-src All
Startup.cs
public void Configure(IApplicationBuilder app, ILoggerFactory loggerFactory)
{
    app.UseCsp(options => options
        // only allow to load resources from current server
        .DefaultSources(s => s.Self()) 
        // allow to load styles from current server and bootstrap
        .StyleSources(s => s.Self().CustomSources("maxcdn.bootstrapcdn.com")) 
        .ReportUris(r => r.Uris("/report")) // uri to report CSP violations
    );

    app.UseCspReportOnly();
}

Quellen

[Bearbeiten | Quelltext bearbeiten]

|}

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Benutzer:MovGP0/ASP.NET_Core/CSP&oldid=237981479