Chuyển đến nội dung chính

[ASP.NET MVC] Cách xử lý inline script sau khi bật CSP

Sau khi bật CSP, tất cả các inline script trong trang web đều không hợp lệ. Bạn có 2 cách để xử lý

  1. Di chuyển tất cả các script vào bên file javascript.
  2. Thêm nonce-<dynamic string> vào mỗi đoạn script

Trong bài viết này, mình sẽ hướng dẫn các bạn cách thêm nonce vào mỗi đoạn inline-script trong project ASP.NET MVC.

Trường hợp bạn muốn thêm vào ASP.NET core, mình nghĩ sẽ rất dễ dàng vì có rất nhiều bài hướng dẫn.

Cài đặt NWebsec

NWebsec consists of several security libraries for ASP.NET applications. These libraries work together to remove version headers, control cache headers, stop potentially dangerous redirects, and set important security headers.

Trong Nuget package, gõ:

Install-Package NWebsec

 Mở Web.config,


<nwebsec>
    <httpHeaderSecurityModule xmlns="http://nwebsec.com/HttpHeaderSecurityModuleConfig.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NWebsecConfig/HttpHeaderSecurityModuleConfig.xsd">
		<securityHttpHeaders>
			<content-Security-Policy enabled="true">
				<!--<script-src self="true">
					<add source="cdnjs.cloudflare.com" />
				</script-src>-->

				<script-src self="true">
					<add source="cdnjs.cloudflare.com" />					
					<add source="https://ajax.googleapis.com" />
					<add source="https://developers.google.com/speed/libraries" />
				</script-src>

				<style-src self="true" unsafeInline="true">					
					<add source="https://ajax.googleapis.com" />
					<add source="http://ajax.googleapis.com" />
				</style-src>
			</content-Security-Policy>
			<!--<x-XSS-Protection blockMode="true" policy="FilterEnabled"></x-XSS-Protection>
			<x-Content-Type-Options enabled="true"></x-Content-Type-Options>
			<x-Frame-Options policy="Deny"></x-Frame-Options>-->
		</securityHttpHeaders>		
    </httpHeaderSecurityModule>
  </nwebsec></configuration>

content-Security-Policy enabled="true": bật CSP cho trang web
script-src self="true": cho phép chèn file script từ host bên ngoài 

Thêm nonce vào trang cshtml

Ở đầu mở trang cshtml, bạn thêm namespace:

@using NWebsec.Mvc.HttpHeaders.Csp

Với mỗi đoạn script, bạn thêm @Html.CspScriptNonce()

<script @Html.CspScriptNonce() type="text/javascript">
	var helloFunctionName = 'logInfo';
	console.log('Test 2**********');
</script>
Kiểm tra trên trình duyệt Chrome: Ở response trả về: Header html: Content-Security-Policy script-src 'self' 'nonce-F43XKRu6L5FyoUga5kiH8fMm' cdnjs.clo... Và ở mỗi đoạn inline script sẽ có đoạn nonce tương ứng: 

<script nonce="F43XKRu6L5FyoUga5kiH8fMm" type="text/javascript">
        var helloFunctionName = 'logInfo';
        console.log('Test 2**********');
        window[helloFunctionName]('window function');
</script>

Đối với các trang aspx

Mặc định, CSP sẽ được áp dụng cho tất các các trang aspx. Do cơ chế ASP.NET khác với ASP.NET MVC nên bạn cần xóa nonce-<dynamic string> ra khỏi header các file asp.net được tải về phía client
Labels:

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

[ASP.NET MVC] Authentication và Authorize

Một trong những vấn đề bảo mật cơ bản nhất là đảm bảo những người dùng hợp lệ truy cập vào hệ thống. ASP.NET đưa ra 2 khái niệm: Authentication và Authorize Authentication xác nhận bạn là ai. Ví dụ: Bạn có thể đăng nhập vào hệ thống bằng username và password hoặc bằng ssh. Authorization xác nhận những gì bạn có thể làm. Ví dụ: Bạn được phép truy cập vào website, đăng thông tin lên diễn đàn nhưng bạn không được phép truy cập vào trang mod và admin.
Đăng nhận xét
Read more »

ASP.NET MVC: Cơ bản về Validation

Validation (chứng thực) là một tính năng quan trọng trong ASP.NET MVC và được phát triển trong một thời gian dài. Validation vắng mặt trong phiên bản đầu tiên của asp.net mvc và thật khó để tích hợp 1 framework validation của một bên thứ 3 vì không có khả năng mở rộng. ASP.NET MVC2 đã hỗ trợ framework validation do Microsoft phát triển, tên là Data Annotations. Và trong phiên bản 3, framework validation đã hỗ trợ tốt hơn việc xác thực phía máy khách, và đây là một xu hướng của việc phát triển ứng dụng web ngày nay.
4 nhận xét
Read more »

Tổng hợp một số kiến thức lập trình về Amibroker

Giới thiệu về Amibroker Amibroker theo developer Tomasz Janeczko được xây dựng dựa trên ngôn ngữ C. Vì vậy bộ code Amibroker Formula Language sử dụng có syntax khá tương đồng với C, ví dụ như câu lệnh #include để import hay cách gói các object, hàm trong các block {} và kết thúc câu lệnh bằng dấu “;”. AFL trong Amibroker là ngôn ngữ xử lý mảng (an array processing language). Nó hoạt động dựa trên các mảng (các dòng/vector) số liệu, khá giống với cách hoạt động của spreadsheet trên excel.
11 nhận xét
Read more »