问题标签 [nwebsec]

我有一个使用 ASP.NET Identity v2 的 ASP.NET MVC 5 站点。我正在尝试使用NWebSec来“强化”它。

因为该站点使用 MVC 和 Owin，所以我安装了 NWebSec.MVC 和 NWebSec.OWIN NuGet 包。

阅读文档，可以通过配置文件为 NWebSec/MVC 设置许多选项，并且可以通过 Startup.cs 文件在代码中为 NWebSec.OWIN 设置一些相同的选项。

例如，要添加 HSTS，我可以在 web.config 中执行以下操作：

...和/或 startup.cs 中的以下内容：

我的问题是：我必须在两个地方设置所有选项 - 还是只在一个地方（在这种情况下，哪个更好）？

我更喜欢在 web.config 文件中进行所有配置，但我不确定这是否会遗漏一些需要在 Startup.cs 文件中设置的东西。

我正在开发一个使用 Umbraco CMS 版本 7 的网站。我正在使用 NWebSec 在网站上实现 CSP 标头。NWebSec 内置了在发生 CSP 违规时引发 .Net 事件的功能。通常你会用这样的东西来捕捉那个事件：

在 Global.asax.cs 文件中。但据我所知，Umbraco 抢占了 Global.asax.cs 文件，它吃掉了任何抛出的事件。我有一个包含一些自定义事件处理程序的文件，例如：

处理通常在 Global.asax.cs 文件中的标准应用程序启动代码，但将 NWebSec 事件处理程序放在同一文件中不起作用。大概是因为它使用的是 .Net 事件处理程序语法，而不是 Umbraco 替换它的任何东西。

如何访问 NWebSec 引发的事件？

具体来说，如下所示：

我的问题是：

• 我应该在站点的不同部署之间更改此值吗？
• 这应该是秘密吗？（我假设是这样，但没有指出）。

我已阅读 NWebSec 的文档以尝试解决问题。

设置web.config为

但我仍然得到

检测到潜在危险的重定向。如果打算进行重定向，请将目标添加到配置中的白名单中。违规重定向：https ://www.facebook.com/dialog/oauth?response_type=code&

我有一个 ASP.NET Webforms 应用程序，它正在使用 NWebsec。它按预期工作，但我试图从一开始就强制使用 HTTPS，而不是在使用 HSTS 进行初始请求之后。当我添加 URL 重写时，它会进入重定向循环。删除 NWebsec 和 URL 重写工作正常。NWebsec 在任何一种情况下都可以工作，但如果它们加载 HTTP，则无需重写，它不会强制使用 HTTPS。它upgrade-insecure-requests本身不起作用。

URL 重写规则

NWebsec 配置

我们一直在使用 NWebsec 和 Asp.Net MVC5 实施内容安全策略，并且大部分时间都在工作。

但是，我们无法配置为允许访问“manifest.json”文件。似乎没有办法设置“manifest-src”设置。

有谁知道这样做的方法？

我试图从我的网站上隐藏我的服务器签名 Microsoft IIS:7。我搜索了太多的链接、代码建议和文章，但没有一个适用于我的 Asp.net MVC 项目。我在这里找到了一个建议Removing/Hiding/Disabling extra HTTP response headers in Azure/IIS7 without UrlScan

也许一个名为 NWebsec 的 Nuget 包可以做到这一点。我将此包添加到项目中，然后将一些新代码添加到我的web.config. 问题是该项目在离线模式下工作正常，但是当我在主机服务器上上传已发布的文件时，它在第 24 行出现错误，就是这样

我认为它可能与它添加的名为 owin 的东西有一些冲突。感谢对此问题的任何帮助或建议从我的网站中删除我的主机名的任何其他方式。

我有一个 ASP.NET MVC 网站，它有一个高度定制的 Umbraco 6 后端作为网站的 CMS。

我一直在升级整个站点的内容安全策略 (CSP) 标头，我正在使用 NWebsec 进行此操作，并且该网站现在愉快地使用 CSP 3 strict-dynamic 并且每个脚本标签上都有随机数，并且一切正常美好的。

不幸的是，我无法对 Umbraco 管理区域应用相同的更改，因此其中大部分根本不起作用。

所以我想做的是将严格的 CSP 3 策略应用于网站的公共可访问部分，并将宽松的 CSP 策略应用于锁定的管理区域。

Umbraco 管理区域位于 /umbraco/ 子目录下，因此我认为实现此功能的最佳方法是在站点的 Web.config 文件中使用两个不同的位置元素。

所以我的 Web.config 现在看起来像：

但这会将默认配置应用于整个站点。

我不确定我的配置是否错误，或者 NWebSec 不支持我正在尝试做的事情，或者重定向或其他问题存在一些特定问题。

我正在尝试在 web.config 的 ASP.NET MVC 应用程序中配置它，如下所示：

这意味着我最终得到一个如下所示的标题：

default-src 'self' https://static.mydomain.com unsafe-inline unsafe-eval

但这仍然使我的页面失败，因为不允许使用内联脚本。我猜我希望我的标题看起来像：

default-src 'self unsafe-inline unsafe-eval' https://static.ozcruising.com.au

所以我的问题是如何更改我的 NWebSec 配置以允许从页面本身（同源）允许内联脚本以及支持从https://static.mydomain.com提供内容？

为了简化我们的web.config，我想使用以下configSource属性将 NWebsec 配置分解为一个单独的文件：

web.config

App_Config\NWebsec.config

当我向应用程序发出请求时，我现在收到一个 HTTP 500 错误，没有其他详细信息。Windows 事件查看器中也没有任何相关内容。

我正在尝试使用 NWebsec 配置吗？

如何获取有关正在发生并导致 HTTP 500 响应的错误的更多详细信息？