Мобильная версияЯ спрашиваю, потому что в некоторых блогах я вижу примеры, когда заголовки типа «Политика безопасности контента (CSP)» применяются в API C#. бэкэнд. Однако я не вижу в этом цели, поскольку (насколько я понимаю) CSP используется для ограничения или определения правил для браузера относительно того, какие ресурсы (стили CSS, сценарии JavaScript, изображения и т. д.) разрешено загружать и откуда он может их загрузить.
Например, рассмотрим этот заголовок CSP:
Content-Security-Policy: img-src 'self' https://api.testApp.com;
Согласно этой политике изображения можно загружать только из:
- того же источника, что и мой веб-сайт (например, если мой сайт — https://mytestapp.com, изображения также должны быть взяты с https://mytestapp.com).
API: https://api.testApp.com.< /li>
заголовками безопасности.
Теперь у меня есть вопросы о том, что такое цель реализации CSP (или других заголовков, которые подходят для написания во внешнем интерфейсе) в серверной части RESTful C# API?
Мой вопрос: может ли кто-нибудь дать простое объяснение на английском языке: < em>Какие типы заголовков безопасности следует установить на интерфейс? Какие заголовки безопасности следует установить на серверной части?
Ниже приведен ответ, сгенерированный ChatGPT. Согласны ли вы с этим или есть какие-то улучшения/исправления/дополнения?
> Where Should the Headers Be Applied?
* Backend (API):
--- Use security headers on the API to protect data and restrict how the API is accessed.
--- Critical headers: CORS, HSTS, X-Content-Type-Options, Content-Security-Policy (minimalist).
* Frontend (React App):
--- Use headers to protect the delivery of your React app to the browser.
--- Critical headers: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
Подробнее здесь: https://stackoverflow.com/questions/792 ... ntend-side
