.NET 6 Sizzling Reload e “Recusou-se a conectar-se ao ws: porque viola a diretiva da Política de Segurança de Conteúdo” porque Internet Sockets



Se você está animado com Recarga rápida como eu E você também quero uma nota “A” de SecurityHeaders.com (sério, tente isso agora) então você aprenderá muito rápido sobre Política de Segurança de Conteúdo cabeçalhos. Você precisa gastar algum tempo lendo e pode acabar com uma lista um tanto sofisticada de coisas permitidas, scripts, folhas de estilo, and so on.

Em Núcleo do DasBlog (o mecanismo de weblog multiplataforma que executa este weblog) Mark Downie os torna configuráveis ​​e usa a biblioteca NWebSpec ASP.NET Middleware para adicionar os cabeçalhos necessários.

if (SecurityStyleSources != null && SecurityScriptSources != null && DefaultSources != null)
{
app.UseCsp(choices => choices
.DefaultSources(s => s.Self()
.CustomSources(DefaultSources)
)
.StyleSources(s => s.Self()
.CustomSources(SecurityStyleSources)
.UnsafeInline()
)
.ScriptSources(s => s.Self()
.CustomSources(SecurityScriptSources)
.UnsafeInline()
.UnsafeEval()
)
);
}

Cada uma dessas variáveis ​​sai de um arquivo de configuração. Sim, seria mais seguro se elas saíssem de um cofre ou fossem mesmo codificadas.

O DasBlog é um aplicativo muito grande e authorized e notamos imediatamente após Mark atualizá-lo para o .NET 6 que não conseguíamos usar o Sizzling Reload (through dotnet watch ou do VS 2022). Podemos reclamar sobre isso ou podemos aprender como ele funciona e por que não está funcionando para nós!

Lembrar: Nada no seu computador está escondido de você.

Começando com um simples “Exibir código-fonte”, podemos ver um JavaScript embrace bem no remaining que definitivamente não é meu!



Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *