Permissive コンテンツセキュリティポリシーが検出されました

low Web App Scanning プラグイン ID 112554

Language:

概要

説明

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

1 つまたは複数の寛容なディレクティブが検出されました。詳細については出力を参照してください。

ソリューション

Content Security ポリシーは、ウェブサイト上のリソースの読み込み元となる場所を制御できるように設計されています。ポリシーの実装はアプリケーションの種類 (ウェブアプリケーション、API など) に依存し、ディレクティブをこれに従って指定する必要があります。
ウェブアプリケーションの場合、ポリシーを制限するために通常、次のディレクティブ設定を適用できます。

- <frame>、<iframe>、<object>、<embed>、または <applet> でページがレンダリングされないようにするには、「frame-ancestors」を「none」に設定する必要があります。
- 保護されたページが提供されているオリジンへのフォーム送信を制限するには、「form-action」を「self」に明示的に設定する必要があります。
-「unsafe-*」ディレクティブはいずれも、アクションが安全でないとみなされることを示しており、これに依存する HTML イベントハンドラーの使用を避けるために、コードをリファクタリングすることをお勧めします。
- data: https: http: 「default-src」、「object-src」、「base-uri」、「script-src」などの URI は安全でないスクリプトの実行が可能になるため、設定しないでください。
-「script-src」およびその他の「-src」ディレクティブの * と *.* により、安全でないスクリプトの実行が可能になるため、制限する必要があります。
-「default-src」を「self」または「none」に明示的に設定し、各ソースタイプに必要な個々のディレクティブを必要に応じてより寛容に設定する必要があります。
-「default-src」の * and *.* により、さまざまな未設定パラメーターが安全でない設定にデフォルト設定される可能性があるため、設定しないでください。

API の場合、スクリプトやフレームなどのリソースを読み込む必要はないため、default-src「none」と frame-ancestors「none」を使用して厳格なポリシーを指定することをお勧めします。

環境内のビジネス継続のために安全でないディレクティブが必要な場合は、環境に適した軽減コントロールを適用し、これらのディレクティブが必要な製品のベンダーと協力してください。注意: さまざまな CSP バージョンが存在し、ウェブアプリケーションにアクセスする際に使用されるブラウザのバージョンによっては、一部のディレクティブが機能しない可能性があります。