2016-09-06 7 views

답변

1

일반적으로 CSP는 HTTP 헤더에 설정되지만 <meta> 태그 일 수 있습니다. 당신은 실버 라이트는 자신의 컨텍스트에서 실행하는 객체입니다, 그러나

<system.webServer> 
    <httpProtocol> 
     <customHeaders> 
      <add name="Content-Security-Policy" value="default-src 'self'; object-src 'self'; img-src 'self' data:;"/> 
     </customHeaders> 
    </httpProtocol> 
</system.webServer> 

에서의 Web.config에서 헤더를 설정할 수 있습니다 - 그것은 CSP 신경 쓰지 않고 완전히 무시합니다. CSP로 수행 할 수있는 유일한 작업은 서버에서 Silverlight .xap 파일을로드하는 것입니다 (object-src 'self'; 포함).

모든 콘텐츠가 Silverlight를 통해 제공되는 경우 Javascript 기반 공격을 실행할 수 없으므로 기존 XSS 공격에 대해 걱정할 필요가 없을 것입니다. Silverlight는 더 이상 사용되지 않으며 기존의 기술이기 때문에 전용 해커가 들어갈 수있는 많은 패치되지 않은 구멍이있을 수 있습니다.