Content Security Policy (コンテンツセキュリティポリシー) の許容可能なソース
info Web App Scanning プラグイン ID 114564
Language:
概要
Content Security Policy (コンテンツセキュリティポリシー) の許容可能なソース説明
コンテンツセキュリティポリシー (CSP) は、ブラウザーがロードできるリソースを制限することで、XSS、クリックジャッキング、混合コンテンツなどの攻撃を防ぐのに役立つ Web セキュリティ標準です。いくつかの高リスクのソースが CSP で検出されました。これにより、permissive ドメインまたはパブリック CDN を通じてこれらの保護をバイパスする可能性があります。攻撃者は、これらの許容ソースを悪用して、CSP の制限にもかかわらず、悪意のあるコンテンツを注入する可能性があります。
ソリューション
ソースを厳密に必要なドメインに制限し、ドメインでのワイルドカード (*) の使用を回避することで、CSP を制限します。参考資料
https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet.html
プラグインの詳細
深刻度: Info
ID: 114564
タイプ: remote
ファミリー: HTTP Security Header
公開日: 2025/1/17
更新日: 2025/1/17
スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan