Webサーバー(.NET Web APIおよびAngular)で無効になっているOPTIONSヘッダー

ライアンリファース

当社は(他のいくつかの企業とともに)PCIコンプライアンスを維持しています。最新のセキュリティ監査の一環として、インフラストラクチャチームと監査人は、セキュリティ上の脅威をもたらすため、OPTIONSヘッダーを完全に無効にする必要があると判断しました。

Angular 6 / 7Webサイトで.NETWeb API(複数のサブドメイン上)を使用します。OPTIONSヘッダーが無効になっているため、Angularからのプリフライト呼び出しは拒否され、アプリは別のサブドメインへの最初のAPI呼び出しで失敗します(たとえば、認証。これは最初の関数の1つであり、アプリをオンにしてauth.mycompany.comに存在します。 app.mycompany.com)。

私はかなりの読書をしました(そして、それが解決策につながる場合、誰かにこれを重複としてマークさせることは恐ろしいでしょう:))、しかし、私はうまくいく解決策を見つけることができませんでした。ほとんどの記事は、ホワイトリストの有効なオプションのコールのコール(なぜHTTPオプションが不安定な要求であるhttps://security.stackexchange.com/questions/138567/why-should-the-options-method-not-be-allowed-on-an -http-serverは2つの例です)、または同じサブドメインにプロキシを設定しますAngular 2の基本認証を使用したプリフライトCORSリクエスト)。

私の質問は、セキュリティスキャンに合格し、AngularからのCORS呼び出しを許可するOPTIONSヘッダーを構成する方法はありますか?

よろしくお願いします!

Reactgular

当社は(他のいくつかの企業とともに)PCIコンプライアンスを維持しています。最新のセキュリティ監査の一環として、インフラストラクチャチームと監査人は、セキュリティ上の脅威をもたらすため、OPTIONSヘッダーを完全に無効にする必要があると判断しました。

すべてのドメインにわたるすべてのOPTIONSの広範なブロックが有効なセキュリティのデフォルトであることに同意しますが、HTTP仕様の一部であるため、一部のOPTIONS要求を正しいサーバーに送信できるようにする必要があります。

一部のセキュリティチームは、標準的な方法としてすべてのPOST要求をブロックし、ネットワークへの許可されるPOST要求を要求する必要があります。

これが良い方針であるかどうかはわかりません。

私の質問は、セキュリティスキャンに合格し、AngularからのCORS呼び出しを許可するOPTIONSヘッダーを構成する方法はありますか?

これは、別のドメインにリクエストが行われたときにWebブラウザによって実行される標準のセキュリティチェックです。それはあなたが変えることができないものです。

この時点でのオプションのリストは次のとおりです

  • 問題のWebサーバーに対してOPTIONSを許可するように要求します。本質的に厳密でセキュリティを確保するOPTIONS応答を生成するようにサーバーが変更されることを、セキュリティチームに伝えます。
  • 同じドメインでAngularWebアプリケーションをホストして、ブラウザーによってOPTIONS要求が行われないようにします。
  • すべてのAPI呼び出しを変更して、本文のないGETリクエストのみがAPIに対して行われるようにします(空のGETリクエストはOPTIONSのプリフライトリクエストから免除されます)。
  • Angularアプリケーションと同じドメインにAPIプロキシを作成し、プロキシに他のドメインへのすべてのAPI呼び出しを行わせます(バックエンドサーバーはOPTIONSリクエストを行いません)。

上記のいずれかを実装する前に、まずセキュリティチームに確認してください。

この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。

侵害の場合は、連絡してくださいdebugcn@gmail.com

編集
0

コメントを追加

0

関連記事

分類Dev

.NET Core Web APIでCORSのOPTIONSヘッダーを有効にする

分類Dev

.NET Core Web APIでCORSのOPTIONSヘッダーを有効にする

分類Dev

.NET Core Web APIでCORSのOPTIONSヘッダーを有効にする

分類Dev

ASP.NET Core Web API500内部サーバーエラー

分類Dev

Asp.net Web API 2WebクライアントとWebサーバー開発の分離

分類Dev

Asp.Net Core 2.2.1 Webアプリでサーバーヘッダーを削除するにはどうすればよいですか?

分類Dev

CloudKitとWebサーバー

分類Dev

ASP.NET4.5がWebサーバーに登録されていません

分類Dev

Asp.Net Core 2 Web API500内部サーバーエラー

分類Dev

ASP.NET Web API CreatedAtRoute が 500 内部サーバー エラーを返す

分類Dev

ASP.NETのWebサービス

分類Dev

Asp.netのWebサービス

分類Dev

asp.net Web サービス (.asmx)

分類Dev

ASP.NET Web ApiSendAsyncはサーバーを待機させ続けます

分類Dev

GolangサーバーによるFlutter Web

分類Dev

ASP.NET Web APIを使用してJava Webサービスを呼び出す

分類Dev

Web API 内部サーバー エラー

分類Dev

.netソケットサーバー内の既存のコードをAsp.netREST Web APIに移行するにはどうすればよいですか?

分類Dev

WebサーバーのないXMLHTTPREQUESTのないWebサイト

分類Dev

.NET Core Web APIキー

分類Dev

CACカードとWebサーバー

分類Dev

ゲーム内のWebサーバー

分類Dev

solrで使用するWebサーバー

分類Dev

Javaアプリにアプリケーションサーバーと.NetだけにIIS Webサーバーが必要なのはなぜですか?

分類Dev

mvc4Webサイトをasp.netサーバーに転送します

分類Dev

ASP.NET MVC 5とWEB API 2にoauth2サーバーを実装する方法

分類Dev

WebサーバーなしのSpring Boot

分類Dev

WebサーバーとしてのIonic

分類Dev

Windows上のKestrelサーバーでASP.NET5Webアプリケーションを実行する

Related 関連記事

  1. 1

    .NET Core Web APIでCORSのOPTIONSヘッダーを有効にする

  2. 2

    .NET Core Web APIでCORSのOPTIONSヘッダーを有効にする

  3. 3

    .NET Core Web APIでCORSのOPTIONSヘッダーを有効にする

  4. 4

    ASP.NET Core Web API500内部サーバーエラー

  5. 5

    Asp.net Web API 2WebクライアントとWebサーバー開発の分離

  6. 6

    Asp.Net Core 2.2.1 Webアプリでサーバーヘッダーを削除するにはどうすればよいですか?

  7. 7

    CloudKitとWebサーバー

  8. 8

    ASP.NET4.5がWebサーバーに登録されていません

  9. 9

    Asp.Net Core 2 Web API500内部サーバーエラー

  10. 10

    ASP.NET Web API CreatedAtRoute が 500 内部サーバー エラーを返す

  11. 11

    ASP.NETのWebサービス

  12. 12

    Asp.netのWebサービス

  13. 13

    asp.net Web サービス (.asmx)

  14. 14

    ASP.NET Web ApiSendAsyncはサーバーを待機させ続けます

  15. 15

    GolangサーバーによるFlutter Web

  16. 16

    ASP.NET Web APIを使用してJava Webサービスを呼び出す

  17. 17

    Web API 内部サーバー エラー

  18. 18

    .netソケットサーバー内の既存のコードをAsp.netREST Web APIに移行するにはどうすればよいですか?

  19. 19

    WebサーバーのないXMLHTTPREQUESTのないWebサイト

  20. 20

    .NET Core Web APIキー

  21. 21

    CACカードとWebサーバー

  22. 22

    ゲーム内のWebサーバー

  23. 23

    solrで使用するWebサーバー

  24. 24

    Javaアプリにアプリケーションサーバーと.NetだけにIIS Webサーバーが必要なのはなぜですか?

  25. 25

    mvc4Webサイトをasp.netサーバーに転送します

  26. 26

    ASP.NET MVC 5とWEB API 2にoauth2サーバーを実装する方法

  27. 27

    WebサーバーなしのSpring Boot

  28. 28

    WebサーバーとしてのIonic

  29. 29

    Windows上のKestrelサーバーでASP.NET5Webアプリケーションを実行する

ホットタグ

アーカイブ