Мое приложение основано на веб-API и использует pnet framework. Он развернут в приложении API на Azure. Я интегрировал эти веб-API в свой интерфейс на основе Angular7, который также размещен в веб-приложении azure. Когда я проверял безопасность моего приложения, некоторые заголовки отсутствовали в соответствии с этим: https://securityheaders.com. Но когда я проверяю сеть своих вызовов API, проверяя элемент, то там присутствуют все заголовки. Со стороны веб-API я добавил пользовательские заголовки в web.config следующим образом:
<customHeaders>
<clear />
<add name="X-Frame-Options" value="SAMEORIGIN"/>
<add name="X-Xss-Protection" value="1; mode=block"/>
<add name="X-Content-Type-Options" value="nosniff"/>
<add name="Content-Security-Policy" value="block-all-mixed-content; base-uri 'self'"/>
<add name="Referrer-Policy" value="no-referrer-when-downgrade"/>
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains;/>
<add name="Feature-Policy" value="microphone 'none'; geolocation 'none'"/>
</customHeaders>
<redirectHeaders>
<clear />
</redirectHeaders>
</httpProtocol>
Когда я проверяю заголовки в ссылке API, то в ссылке, упомянутой выше, отображается A +. Но после интеграции его с внешним интерфейсом, когда я проверяю ссылку внешнего интерфейса, все заголовки отсутствуют. Ниже приведены изображения теста безопасности для приложения API и приложения Angular.
