廃止された Content Security ポリシー

low Web App Scanning プラグイン ID 112552

概要

廃止された Content Security ポリシー

説明

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

X-Content-Security-Policy および X-Webkit-CSP HTTP ヘッダーは、CSP を実装するために廃止されました。

ソリューション

X-Content-Security-Policy および X-Webkit-CSP HTTP ヘッダーの使用を回避し、「Content-Security-Policy」HTTP ヘッダーまたはメタタグ http-equiv='Content-Security-Policy' を追加して、Web サイトで Content Security ポリシーを構成します。

参考資料

https://content-security-policy.com/

https://csp-evaluator.withgoogle.com/

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

https://developers.google.com/web/fundamentals/security/csp/

プラグインの詳細

深刻度: Low

ID: 112552

タイプ: remote

ファミリー: HTTP Security Header

公開日: 2019/2/14

更新日: 2024/4/22

スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan

リスク情報

VPR

リスクファクター: Low

スコア: 2.2

CVSS v2

リスクファクター: Low

基本値: 2.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Low

基本値: 3.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS スコアのソース: Tenable

参照情報