Diese wiki link hat folgende Beratungs über SwaggerWie soll ich Swagger auf einer separaten Domain für Azure Mobil konfigurieren (zum Sicherheitsproblem lösen)
Hinweis: Um die 0.3.157.1 Version von Microsoft.Azure.Mobile.Server .Swagger hängt von einer Version der swagger-ui JavaScript-Bibliothek ab, die eine Sicherheitslücke aufweist. Siehe https://nodesecurity.io/advisories/126.
Die Beratung von NodeSecurity ist
Unsere primäre Empfehlung ist Prahlerei Dokumentation auf einer separaten Domain unterscheidet sich von der Anwendungsdomäne zu hosten. Außerdem empfehlen wir, eine Inhaltssicherheitsrichtlinie (CSP) zu implementieren, die die Domänen beschränkt, von denen JSON-Dateien angefordert werden können, um zu verhindern, dass schädliche JSON-Dokumente über den URL-Abfragezeichenfolgenparameter geladen werden.
Was ist der einfachste Weg, um diesen Ratschlag unterzubringen?
Sollte ich eine separate TLD verwenden oder ist eine Subdomain akzeptabel?
Danke. Soll ich 'Microsoft.Azure.Mobile.Server.Swagger' verwenden, um den Client zu erstellen, der Swashbuckle gegenübersteht? Wenn ja, wie bearbeite ich 'config. EnableSwagger() 'um diese GUI auf einem separaten DNS-Domänen-Endpunkt verfügbar zu machen? (Angenommen, ich habe bereits den CORS-Support hinzugefügt, wie Sie beschrieben haben) – LamonteCristo
Es scheint, dass Sie mobile App in C# verwenden, sorry, ich weiß wenig über C#, aber in meinem Test antwortet der Endpunkt '/swagger' die gesamte swagger-Konfiguration Inhalt in JSON, der direkt in Swagger-Ui verwendet werden kann. https://garytestmb.azurewebsites.net/swagger, FYI –