0
실버 라이트 기반 웹 사이트에 대한 보안을 구현하려고합니다. 그 중 하나는 콘텐츠 보안 정책 태그를 구현하는 것입니다. 그렇게하는 방법? 그것은 web.config에 추가됩니까?엔터티 프레임 워크를 통해 실버 라이트 웹 응용 프로그램에 content-security-policy 태그를 사용하는 방법
A
답변
1
일반적으로 CSP는 HTTP 헤더에 설정되지만 <meta> 태그 일 수 있습니다. 당신은 실버 라이트는 자신의 컨텍스트에서 실행하는 객체입니다, 그러나
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self'; object-src 'self'; img-src 'self' data:;"/>
</customHeaders>
</httpProtocol>
</system.webServer>
에서의 Web.config에서 헤더를 설정할 수 있습니다 - 그것은 CSP 신경 쓰지 않고 완전히 무시합니다. CSP로 수행 할 수있는 유일한 작업은 서버에서 Silverlight .xap 파일을로드하는 것입니다 (object-src 'self'; 포함).
모든 콘텐츠가 Silverlight를 통해 제공되는 경우 Javascript 기반 공격을 실행할 수 없으므로 기존 XSS 공격에 대해 걱정할 필요가 없을 것입니다. Silverlight는 더 이상 사용되지 않으며 기존의 기술이기 때문에 전용 해커가 들어갈 수있는 많은 패치되지 않은 구멍이있을 수 있습니다.