ASP.NET MVC 5默认不发送X-Frame-Options头信息

Question

ASP.NET MVC 5默认不发送X-Frame-Options头信息

3

这篇文章似乎表明，ASP.NET MVC 5网站会自动发送带有值为SAMEORIGIN的X-Frame-OptionsHTTP头。

我希望默认情况下，观察我的网站，它并没有发送该头信息。

即使添加了下面这行代码，如果默认行为是发送头信息，则不需要添加此代码，但似乎仍未发送。

AntiForgeryConfig.SuppressXFrameOptionsHeader = false;

我可以添加一个动作过滤器属性并明确执行。但是，我想知道是否有什么遗漏，如果我希望该标头默认发送SAMEORIGIN值？

我正在使用ASP.NET MVC 5.2.4，目标为.NET Framework 4.6.1。

- Water Cooler v2

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- AlbertK · Accepted Answer

1

如果您在视图上使用@Html.AntiForgeryToken()，它将默认添加。如果您不使用它，您需要显式添加此标头，例如在操作筛选器属性中。

- AlbertK

谢谢。我在写完问题后很快就解决了，本来打算自己写一个详细的答案。现在不用了。 :-) - Water Cooler v2

如果您有其他细节，那么可以再写一个答案。没有问题 :) - AlbertK

没有什么额外的东西。我本来要解释整个XSRF的事情以及需要防伪令牌的原因，然后解释当您调用无参数方法（@Html.AntiForgeryToken()）时会发生什么，以及所有其他带参数的重载在ASP.NET MVC 5中已被弃用。还有，您可以在什么时候调用该方法，即使您调用了它，也可能是无效的。 - Water Cooler v2

我会在一天左右完成我正在开发的功能后立即做到。谢谢。 :-) - Water Cooler v2