這篇文章主要介紹asp.net core下給網(wǎng)站做安全設(shè)置的示例分析，文中介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們一定要看完！

創(chuàng)新互聯(lián)建站是專業(yè)的高昌網(wǎng)站建設(shè)公司，高昌接單;提供網(wǎng)站設(shè)計(jì)制作、網(wǎng)站設(shè)計(jì),網(wǎng)頁設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行高昌網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來合作!

設(shè)置方法如下

首先，我們來看下stack overflow網(wǎng)站的請(qǐng)求頭文件：

可以看到一些我們熟悉或是陌生的HTTP頭部文件字段。

在這里我們?cè)趯?duì)HTTP輸入流的頭部文件中，做一些基本的防護(hù)。首先要明確，既然我們是對(duì)HTTP頭部做處理，那么就需要在Startup.cs類的

Configuration方法中做處理，因?yàn)檫@里就是處理HTTP輸入流的。

首先做一些基本的處理，比如中間件和基本的類：

public class SecurityHeadersPolicy 
{
 public IDictionary SetHeaders { get; }
  = new Dictionary();
 
 public ISet RemoveHeaders { get; }
 = new HashSet();
}

這里的頭部信息是我們定義好的，用來增加或是刪除頭部信息，然后就是我們的中間件：

public class SecurityHeadersMiddleware 
{
 private readonly RequestDelegate _next;
 private readonly SecurityHeadersPolicy _policy;

 public SecurityHeadersMiddleware(RequestDelegate next, SecurityHeadersPolicy policy)
 {
 _next = next;
 _policy = policy;
 }

 public async Task Invoke(HttpContext context)
 { 
 IHeaderDictionary headers = context.Response.Headers;

 foreach (var headerValuePair in _policy.SetHeaders)
 {
  headers[headerValuePair.Key] = headerValuePair.Value;
 }

 foreach (var header in _policy.RemoveHeaders)
 {
  headers.Remove(header);
 }

 await _next(context);
 }
}

基于IApplicationBuilder接口做一個(gè)中間件的擴(kuò)展方法：

public static class MiddlewareExtensions 
{
 public static IApplicationBuilder UseSecurityHeadersMiddleware(this IApplicationBuilder app, SecurityHeadersBuilder builder)
 {
 SecurityHeaderPolicy policy = builder.Build();
 return app.UseMiddleware(policy);
 }
}

封裝好相關(guān)的安全類：

public class SecurityHeadersBuilder 
{
 private readonly SecurityHeadersPolicy _policy = new SecurityHeadersPolicy();

 public SecurityHeadersBuilder AddDefaultSecurePolicy()
 {
 AddFrameOptionsDeny();
 AddXssProtectionBlock();
 AddContentTypeOptionsNoSniff();
 AddStrictTransportSecurityMaxAge();
 RemoveServerHeader();

 return this;
 }

 public SecurityHeadersBuilder AddFrameOptionsDeny()
 {
 _policy.SetHeaders[FrameOptionsConstants.Header] = FrameOptionsConstants.Deny;
 return this;
 }

 public SecurityHeadersBuilder AddFrameOptionsSameOrigin()
 {
 _policy.SetHeaders[FrameOptionsConstants.Header] = FrameOptionsConstants.SameOrigin;
 return this;
 }

 public SecurityHeadersBuilder AddFrameOptionsSameOrigin(string uri)
 {
 _policy.SetHeaders[FrameOptionsConstants.Header] = string.Format(FrameOptionsConstants.AllowFromUri, uri);
 return this;
 }

 public SecurityHeadersBuilder RemoveServerHeader()
 {
 _policy.RemoveHeaders.Add(ServerConstants.Header);
 return this;
 }

 public SecurityHeadersBuilder AddCustomHeader(string header, string value)
 {
 _policy.SetHeaders[header] = value;
 return this;
 }

 public SecurityHeadersBuilder RemoveHeader(string header)
 {
 _policy.RemoveHeaders.Add(header);
 return this;
 }

 public SecurityHeadersPolicy Build()
 {
 return _policy;
 }
}

最后注入到HTTP的輸入流中：

app.UseSecurityHeadersMiddleware(new SecurityHeadersBuilder() 
.AddDefaultSecurePolicy()
);

然后我們?yōu)g覽一下網(wǎng)頁，就可以在HTTP的頭部信息中看到：

HTTP/1.1 200 OK 
Content-Type: text/html; charset=utf-8 
X-Frame-Options: DENY 
X-XSS-Protection: 1; mode=block 
X-Content-Type-Options: nosniff 
Strict-Transport-Security: max-age=31536000 
X-Powered-By: ASP.NET

還有一個(gè)就是CSRF的防護(hù)，如果之前你用過ASP.NET MVC，在最基本的MVC模板中，可能你會(huì)留意到已有的cshtml頁面中的form表單有這么一句：

@Html.AntiForgeryToken()

這就是微軟在MVC框架中為我們提供的防護(hù)CSRF的方法。我們?cè)诒韱沃兄苯邮褂蒙厦婺蔷浯a就可以了，然后在表單提交的Action方法中：

[ValidateAntiForgeryToken]
[HttpPost]
public IActionResult AntiForm(string message)
{
return Content(message);
}

使用[ValidateAntiForgeryToken]屬性，來驗(yàn)證CSRF。

以上是“asp.net core下給網(wǎng)站做安全設(shè)置的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對(duì)大家有幫助，更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

名稱欄目：asp.netcore下給網(wǎng)站做安全設(shè)置的示例分析-創(chuàng)新互聯(lián)
網(wǎng)頁地址：http://weahome.cn/article/hpdsi.html