遺漏或不安全的 "Content-Security-Policy" 標頭
嚴重性: 低
CVSS 評分: 5.0
URL:: https://site/c01.php
實體: c01.php (Page)
風險: 有可能收集 Web 應用程式相關的機密性資訊,如:使用者名稱、密碼、機器名稱及/或機密檔案位置
有可能說服無經驗而易受騙的使用者提供機密性資訊,如:使用者名稱、密碼、信用卡號碼、社會保
險號碼等等
原因: 不安全的 Web 應用程式設計或配置
修正: 配置伺服器利用安全原則使用 "Content-Security-Policy" 標頭
如上述請問一下各位大大,這是今日掃弱後的漏洞
,先前修正時已經在個別網頁前面都加上header
Content-Security-Policy: default-src 'self';img-src https: 'self'; frame-src 'self' www.site.com ;script-src 'unsafe-inline';
來針對有弱點的網頁設置了,但掃弱的結果卻依然出現漏洞,請問csp還有哪些地方需要修改的嗎,還是可以從其他地方修改呢
(已經嘗試從apache設置,網頁的框架會跑掉,所以才選擇在個別網頁設置)
要在apache或nginx上設置【檔頭】,目的是不允許讀入其他網址指令。
排版會跑掉是因為您有可能讀取其他網域javascript或style或font,可以設定例外網域,只是稽核可能不會過。
Content-Security-Policy default-src 'self' 'unsafe-inline' 'unsafe-eval' http://fonts.googleapis.com https://fonts.gstatic.com https://www.googletagmanager.com https://ajax.googleapis.com