Как настроить Swagger в отдельном домене для Azure Mobile (для решения проблемы безопасности)

Question

Как настроить Swagger в отдельном домене для Azure Mobile (для решения проблемы безопасности)

Эта вики-ссылка содержит следующие рекомендации по Swagger

ПРИМЕЧАНИЕ. Версия Microsoft.Azure.Mobile.Server.Swagger версии 0.3.157.1 зависит от версии библиотеки JavaScript swagger-ui, в которой имеется уязвимость системы безопасности. См. https://nodesecurity.io/advisories/126.

Совет от NodeSecurity:

Наша основная рекомендация - размещать документацию по swagger в отдельном домене, отличном от домена приложения. Кроме того, мы рекомендуем реализовать политику безопасности содержимого (CSP), которая ограничивает домены, с которых можно запрашивать файлы JSON, чтобы избежать загрузки вредоносных документов JSON через параметр строки запроса URL.

Какой самый простой способ учесть этот совет?

Должен ли я использовать отдельный домен верхнего уровня или поддомен приемлем?

0

azure security swagger xss azure-mobile-services

Источник

user328397 31 дек '16 в 02:46

1 ответ

Другие вопросы по тегам azure security swagger xss azure-mobile-services

user4989668 02 янв '17 в 07:29 2017-01-02 07:29 · Answer 1 · 2017-01-02 07:29

Для быстрого тестирования я использую http://petstore.swagger.io/ для моделирования этого сценария. Если у меня возникнут какие-либо недоразумения относительно вашего сценария, пожалуйста, дайте мне знать.

Добавьте конечную точку Swagger-UI в CORS Настройки в портале:

Используйте public swagger endpoiont в отдельном клиенте swagger-ui: