缺少或寬鬆的 Content-Security-Policy frame-ancestor HTTP 回應標頭

info Nessus Plugin ID 50344

概要

遠端 Web 伺服器不會採取步驟減輕 Web 應用程式弱點造成的影響。

說明

某些回應中的遠端網頁伺服器設定了寬鬆的 Content-Security-Policy (CSP) frame-ancestor 回應標頭,或是完全沒有設定。

CSP frame-ancestor 標頭是 W3C Web Application Security Working Group 建議的一種可減輕跨網站指令碼和點擊劫持攻擊的方式。

解決方案

針對所有要求的資源設定一個非寬鬆的 Content-Security-Policy frame-ancestor 標頭。

另請參閱

http://www.nessus.org/u?55aa8f57

http://www.nessus.org/u?07cc2a06

https://content-security-policy.com/

https://www.w3.org/TR/CSP2/

Plugin 詳細資訊

嚴重性: Info

ID: 50344

檔案名稱: http_X_Content_Security_Policy_header.nasl

版本: 1.6

類型: remote

系列: CGI abuses

已發布: 2010/10/26

已更新: 2021/1/19

支援的感應器: Nessus