エンティティフレームワークよりSilverlight Webアプリケーションにcontent-security-policyタグを使用する方法

Question

SilverlightベースのWebサイトのセキュリティを実装しようとしています。対策の1つは、コンテンツセキュリティポリシータグを実装することです。どうやってするか？それはweb.configに追加されていますか？

Answer 1

通常、CSPはHTTPヘッダーに設定されていますが、<meta>タグに含めることができます。あなたは、Silverlightは、それ自身のコンテキストで実行オブジェクトである、しかし

<system.webServer> 
    <httpProtocol> 
     <customHeaders> 
      <add name="Content-Security-Policy" value="default-src 'self'; object-src 'self'; img-src 'self' data:;"/> 
     </customHeaders> 
    </httpProtocol> 
</system.webServer> 

であなたのweb.configファイルのヘッダを設定することができます - それは、CSP気にしないし、それを完全に無視します。 CSPで唯一できることは、Silverlight .xapファイルがサーバー（object-src 'self';）で読み込まれていることを確認することです。

すべてのコンテンツがSilverlight経由である場合、Javascriptベースのエクスプロイトを実行できないため、従来のXSS攻撃を心配する必要はほとんどありません。 Silverlightは廃止された従来の技術ですが、専用のハッカーが侵入する可能性のあるパッチされていない穴がたくさんあります。