Как настроить Swagger в отдельном домене для Azure Mobile (для решения проблемы безопасности)

Эта Вики-ссылка имеет следующие рекомендации о Swagger

Примечание: 0.3.157.1 версия Microsoft.Лазурный.Мобильный.Сервер.Swagger зависит от версии библиотеки JavaScript swagger-ui, которая имеет уязвимость безопасности. Посмотреть https://nodesecurity.io/advisories/126 .

Совет от NodeSecurity

Наша основная рекомендация-разместить документацию swagger в отдельном домене, отличном от домена приложения. Кроме того, мы рекомендуем реализовать политику безопасности содержимого (CSP), которая ограничивает домены, из которых могут быть запрошены файлы JSON, чтобы избежать загрузки вредоносных документов JSON через параметр строки запроса URL.

Каков наиболее простой способ удовлетворить этот совет?

Должен ли я использовать отдельный TLD или поддомен приемлем?

1 ответ

  1. Для быстрого теста, я плечо http://petstore.swagger.io/ для моделирования этого сценария. Если у меня есть какие-либо недоразумения о вашем сценарии, пожалуйста, дайте мне знать.

    Добавьте конечную точку swagger-ui в CORSпараметры портала:
    Введите описание изображения здесь

    Используйте общедоступный Swagger endpoiont в отдельном клиенте swagger-ui:

    Введите описание изображения здесь