「Content-Security-Policy」ヘッダーを使用するようにIISサーバーを構成します

この投稿 から、IIS構成ファイルに直接コンテンツセキュリティポリシーを定義し（さらに、これらのヘッダーにデータを入力します）。リンクされた投稿で、

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="default-src 'self';" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

これを行う方法を示します。構成ファイルのhttpProtocolセクションで、名前（つまり、"Content-Security-Policy"および実装するCSPを定義する値を含むcustomHeadersコレクションにエントリを追加します。例では、非常に単純なCSPが実装されており、ローカルサイト（self）からのリソースのみをロードできます。

リンクした2番目のリソースには、customHeaderで使用できるさまざまなオプションと、それらの有効な値の例がリストされています。覚えておくべきことの1つは、後続のオプションは;で区切る必要があり、文字列は最後の;で終わる必要があるということです。

古い質問ですが、グーグルがあなたをここに落とすので...

CSPオプションの優れた「ビルダー」を見つけました。

https://report-uri.io/home/tools/

これは「リンクのみの回答」のように見えますが、実際には、リンクは完全に構築されたCSPエディターです。ボックスをクリックし、CSPで必要なWebサイトを選択すると、CSP文字列が設定されます（コピーするだけです） Content-Security-Policyのヘッダーに結果を貼り付けます）。この答え、つまりリンクの機能を複製することはできませんでした。

Open Web Application Security Project（OWASP）には、いくつかのContent-Security-Policyの例といくつかの便利なリンクがあります Content Security Policy Cheat Sheet under Preventing Clickjacking ：

コンテンツのすべてのフレーミングを防ぐには：

Content-Security-Policy: frame-ancestors 'none' 

サイトのみを許可するには、次を使用します。

Content-Security-Policy: frame-ancestors 'self' 

信頼できるドメイン（my-trusty-site.com）を許可するには、次の手順を実行します。

Content-Security-Policy: frame-ancestors my-trusty-site.com

Mozilla Developers Networkには、 Content-Security-Policy と X-ContentTypeOptions の両方の完全な構文と例があります。

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/

X-Content-Type-Options: nosniff

X-XSS-Protectionの例 は次のとおりです。

X-XSS-Protection: 1; mode=block

Server 2012 R2の場合：

1. Open IIS Manager。
2. IIS Server Home。
3. HTTP応答ヘッダーのDoubleClick。
4. 右側の[アクション]の下の[追加]をクリックします。
5. 名前と値を追加します。