問題タブ [nwebsec]

ASP.NET Identity v2 を使用する ASP.NET MVC 5 サイトがあります。NWebSecを使用して「強化」しようとしています。

このサイトでは MVC と Owin を使用しているため、NWebSec.MVC と NWebSec.OWIN NuGet パッケージをインストールしました。

ドキュメントを読むと、設定ファイルを介して NWebSec/MVC に多くのオプションを設定でき、Startup.cs ファイルを介してコードで同じオプションのいくつかを NWebSec.OWIN に設定できます。

たとえば、HSTS を追加するには、web.config で次のようにします。

...および/または startup.cs の次の内容:

私の質問は、両方の場所ですべてのオプションを設定する必要があるのか​​、それとも 1 つの場所だけで設定する必要があるのか​​ (その場合、どちらが優れているか) ですか?

web.config ファイルですべての構成を行いたいのですが、Startup.cs ファイルで設定する必要があるいくつかの設定が失われるかどうかはわかりません。

Umbraco CMS バージョン 7 を使用する Web サイトで作業しています。Web サイトに CSP ヘッダーを実装するために NWebSec を使用しています。NWebSec には、CSP 違反が発生したときに .Net イベントを発生させる機能が組み込まれています。通常、次のような方法でそのイベントをキャッチします。

Global.asax.cs ファイル内。しかし、私が知る限り、Umbraco は Global.asax.cs ファイルを先取りし、スローされたすべてのイベントを食べます。次のようないくつかのカスタム イベント ハンドラを含むファイルがあります。

通常は Global.asax.cs ファイルにある標準的なアプリケーション スタートアップ コードを処理しますが、同じファイルに NWebSec イベント ハンドラーを配置しても機能しません。おそらく、Umbraco が置き換えたものではなく、.Net イベント ハンドラー構文を使用しているためです。

NWebSec によってスローされたイベントにアクセスするにはどうすればよいですか?

具体的には、以下に示すものです。

私の質問は次のとおりです。

• サイトの異なる展開間でこの値を変更する必要がありますか?
• これは秘密のはずですか？（そう思いますが、これは示されていませんでした）。

問題を解決するために、NWebSec のドキュメントを読みました。

web.configに設定

しかし、私はまだ得ています

潜在的に危険なリダイレクトが検出されました。リダイレクトが意図されたものである場合は、構成のホワイトリストに宛先を追加します。問題のあるリダイレクト: https://www.facebook.com/dialog/oauth?response_type=code&

ASP.NET Webforms アプリケーションがあり、NWebsec を使用しています。意図したとおりに機能しますが、HSTS での最初の要求の後ではなく、最初から HTTPS を強制しようとしています。URL Rewrite を追加すると、リダイレクト ループに入ります。NWebsec と URL Rewrite を削除すると正常に動作します。NWebsec はどちらの場合でも機能しますが、HTTP をロードする場合、書き換えなしでは HTTPS を強制しません。はupgrade-insecure-requests単独では機能しません。

URL 書き換えルール

NWebsec 構成

NWebsec と Asp.Net MVC5 を使用してコンテンツ セキュリティ ポリシーを実装しており、ほとんど機能しています。

ただし、「manifest.json」ファイルへのアクセスを許可するように構成できていません。「manifest-src」設定を設定する方法はないようです。

これを行う方法を知っている人はいますか？