如何向 NuGenesis Web 服务器添加 HTTP Content-Security-Policy 标头信息 - WKB239682

目的

将“Content-Security-Policy”HTTP 响应标头添加到 Microsoft IIS 中的网站/应用程序。

环境

• Windows Server 2019/2016/2012
• IIS 有一个或多个具有 HTTPS 有效绑定的网站
• NuGenesis 9
• NuGenesis 8

步骤

1. 在 Web 服务器上打开 IIS 管理器。
2. 连接到本地服务器。
3. 展开“网站”树状列表，双击 Default Web Site，然后选择其中的应用程序之一。
4. 双击 HTTP 响应代码。
5. 单击 Add（添加）。
6. 为标头名称指定以下内容：

   • Content-Security-Policy

7. 为标头值指定以下内容：

   • style-src https://servername

8. 单击 OK（确定）。
9. 重新启动 Web 服务器。

附加信息

此标头会将“style-src”指令添加到 IIS 提供的所有页面。它可以确保网页的样式表仅从指定的服务器（Web 服务器本身）加载，而不是从其他来源上的同名文件加载。

如果 style-src 声明与网址中指定的主机不匹配 - 例如，计算机的域成员身份被更改 - 则不会应用 CSS 样式表。网站将与正常情况大不相同，并且可能无法正常运行。以下消息将记录在浏览器控制台中，对于每个与 style-src 声明不匹配的样式表，都会记录一次：

• 拒绝加载样式表“https://servername.domain/sitename/p...stylesheet.css”，因为它违反了以下“内容安全策略”指令：“style-src https://servername”，请注意，“style-src-elem”没有被明确设置，因此使用“style-src”作为后备设置。