Permissive コンテンツセキュリティポリシーが検出されました

low Web App Scanning プラグイン ID 112554

Language:

概要

説明

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

1 つまたは複数の寛容なディレクティブが検出されました。詳細については出力を参照してください。

ソリューション

次のディレクティブ構成を適用して、安全なコンテンツセキュリティポリシーを設定できます。

- <frame>、<iframe>、<object>、<embed>、または <applet> でページがレンダリングされないようにするには、「frame-ancestors」を「none」に設定する必要があります。
- 保護されたページが提供されているオリジンへのフォーム送信を制限するには、「form-action」を「self」に明示的に設定する必要があります。
- ページの混合コンテンツ (HTTP および HTTPS で提供される URL) を回避するには、「upgrade-insecure-requests」および「block-all-mixed-content」を設定する要があります。
-「unsafe- *」ディレクティブのいずれかがあれば、アクションが安全でないと考えられていることを示しています。これに依存する HTML イベントハンドラーの使用を回避するために、コードをリファクタリングすることをお勧めします。
- データ: https: http: 「default-src」、「object-src」、「base-uri」、「script-src」の URI により、安全でないスクリプトの実行が可能になるため、設定しないでください。
-「script-src」およびその他の「-src」ディレクティブの * と *.* により、安全でないスクリプトの実行が可能になるため、制限する必要があります。
-「default-src」を「self」または「none」に明示的に設定し、各ソースタイプに必要な個々のディレクティブを必要に応じてより寛容に設定する必要があります。
-「default-src」の * and *.* により、さまざまな未構成パラメーターが安全でない構成にデフォルト設定される可能性があるため、設定しないでください。
- none、unsafe-eval、unsafe-inline、self の各キーワードを有効にするには、単一引用符で囲む必要があります。
- 安全でないスクリプトの実行を回避するために、「object-src」を明示的に「none」に設定する必要があります。

これらのディレクティブが環境のビジネス継続性に必要な場合は、環境に適した緩和コントロールを適用し、これらのディレクティブが必要な製品のベンダーと協力してください。