3

我有一个使用 ASP.NET Identity v2 的 ASP.NET MVC 5 站点。我正在尝试使用NWebSec来“强化”它。

因为该站点使用 MVC 和 Owin,所以我安装了 NWebSec.MVC 和 NWebSec.OWIN NuGet 包。

阅读文档,可以通过配置文件为 NWebSec/MVC 设置许多选项,并且可以通过 Startup.cs 文件在代码中为 NWebSec.OWIN 设置一些相同的选项。

例如,要添加 HSTS,我可以在 web.config 中执行以下操作:

  <nwebsec>
    <httpHeaderSecurityModule xmlns="http://nwebsec.com/HttpHeaderSecurityModuleConfig.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NWebsecConfig/HttpHeaderSecurityModuleConfig.xsd">
      <securityHttpHeaders>
        <strict-Transport-Security max-age="365" includeSubdomains="true" httpsOnly="false" preload="true" />
      </securityHttpHeaders>
    </httpHeaderSecurityModule>
  </nwebsec>

...和/或 startup.cs 中的以下内容:

    public void Configuration(IAppBuilder app)
    {
        this.ConfigureAuth(app);

        app.UseHsts(o => o.MaxAge(365).IncludeSubdomains().AllResponses().Preload());
    }

我的问题是:我必须在两个地方设置所有选项 - 还是只在一个地方(在这种情况下,哪个更好)?

我更喜欢在 web.config 文件中进行所有配置,但我不确定这是否会遗漏一些需要在 Startup.cs 文件中设置的东西。

4

1 回答 1

3

您可以安全地在 web.config 中设置所有配置。OWIN 包是为那些喜欢使用启动类而不是 web.config 的人准备的。

如果您应该在 web.config 和中间件中配置例如 HSTS,则首先将根据 web.config 在响应中设置标头。中间件稍后将在管道中运行,并将根据 OWIN 配置设置标头,而不考虑 web.config 中的内容。因此,当在两个地方都配置了标头时,中间件会获胜。

为了这个答案的完整性:如果您使用 MVC 属性覆盖基本​​配置,则在计算结果配置时,将在 web.config 上选择特定标头的 OWIN 配置。所以 OWIN 在所有情况下都胜过 web.config。

于 2015-07-24T11:08:47.503 回答