Report Only Content Security ポリシーが検出されました

info Web App Scanning プラグイン ID 112555

概要

Report Only Content Security ポリシーが検出されました

説明

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

CSP が検出されましたが、レポート専用モードに構成されています。

ソリューション

「Content-Security-Policy」HTTP ヘッダーまたはメタタグ http-equiv='Content-Security-Policy' を追加し、不要な場合には「Content-Security-Policy-Report-Only」ヘッダーまたはメタタグ http-equiv='Content-Security-Policy-Report-Only を削除します。

参考資料

https://content-security-policy.com/

https://csp-evaluator.withgoogle.com/

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

https://developers.google.com/web/fundamentals/security/csp/

プラグインの詳細

深刻度: Info

ID: 112555

タイプ: remote

ファミリー: HTTP Security Header

公開日: 2019/3/7

更新日: 2024/3/25

スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan