本文主要是紀錄一些資安相關的HTTP Security Headers設置，

在Web.Config 設定檔加入以下標籤即可。

1.伺服器資訊隱藏

X-Powered-By、X-AspNet-Version、X-AspNetMvc-Version、Server 關閉。

<!--隱藏 X-Powered-By 欄位，隱藏網頁應用程式的技術-->
<system.webServer>
    <httpProtocol>
        <customHeaders>
            <remove name="X-Powered-By" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

<!--隱藏 X-AspNet-Version 欄位，隱藏 ASP.NET 版本編號-->
<system.web>
    <httpRuntime enableVersionHeader="false" />
</system.web>

<!--隱藏 Server 欄位-->
<system.webServer>
    <security>
        <requestFiltering removeServerHeader="true" />
    </security>
</system.webServer>

2.Debug Mode關閉

避免正式環境Debug。

<system.web>
    <compilation debug="false" />
</system.web>

3.HttpOnly

防止經由JavaScript 存取使用者的session、cookie。

<system.web>
     <httpCookies httpOnlyCookies="true"  />
</system.web>

4.防止HTTP Header 注入 (HTTP Header Injection)

<system.web>
  <httpRuntime targetFramework="*" enableHeaderChecking="true" />
</system.web>

5.X-Content-Type-Options

Content Security Policy (CSP) 內容安全政策，限制網頁中對外部的請求來源，防止XSS 攻擊（Cross-site Scripting），

<!--將全面禁止載入任何來自其他網站資源-->
<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="default-src 'self';" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

參考資料

1.https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Headers_Cheat_Sheet.html
2.https://sdwh.dev/posts/2020/10/Cyber-Security-Web-Config-Configuration/
3.https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP