Эта Вики-ссылка имеет следующие рекомендации о Swagger
Примечание: 0.3.157.1 версия Microsoft.Лазурный.Мобильный.Сервер.Swagger зависит от версии библиотеки JavaScript swagger-ui, которая имеет уязвимость безопасности. Посмотреть https://nodesecurity.io/advisories/126 .
Совет от NodeSecurity
Наша основная рекомендация-разместить документацию swagger в отдельном домене, отличном от домена приложения. Кроме того, мы рекомендуем реализовать политику безопасности содержимого (CSP), которая ограничивает домены, из которых могут быть запрошены файлы JSON, чтобы избежать загрузки вредоносных документов JSON через параметр строки запроса URL.
Каков наиболее простой способ удовлетворить этот совет?
Должен ли я использовать отдельный TLD или поддомен приемлем?
Для быстрого теста, я плечо http://petstore.swagger.io/ для моделирования этого сценария. Если у меня есть какие-либо недоразумения о вашем сценарии, пожалуйста, дайте мне знать.
Добавьте конечную точку swagger-ui в
CORSпараметры портала:Используйте общедоступный Swagger endpoiont в отдельном клиенте swagger-ui: