偵測到寬鬆的內容安全性原則

low Web App Scanning Plugin ID 112554

語系：

概要

偵測到寬鬆的內容安全性原則

說明

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

偵測到一個或多個寬鬆的指示詞。請參閱輸出以取得詳細資料。

解決方案

內容安全性原則設計為可控製網站上可從何處載入資源。政策的實作取決於應用程式類型 (Web 應用程式、API...)，且必須據此指定指示詞。
針對 Web 應用程式，通常可套用下列指示詞組態來限制原則：

-「frame-ancestors」應設為「none」，以避免轉譯 <frame>、<iframe>、<object>、<embed> 或 <applet> 中的頁面。
-「form-action」應明確設定為「self」，以將表單提交限制為提供受保護頁面的來源。
- 任何「unsafe-*」指示詞皆表示此動作被視為不安全，且最好重構程式碼，以避免使用依賴於此的 HTML 事件處置程式。
- 資料：https: http: URI 允許執行不安全的指令碼，且不應設定。
-「script-src」和其他「-src」指示詞中的 * 和 *.* 允許執行不安全的指令碼，因此應加以限制。
-「default-src」應明確設定為「self」或「none」，且每個來源類型所需的個別指示詞應視需要更寬鬆地設定
-「default-src」中的 * 和 *.* 允許多種未設定的參數預設為不安全的設定，因此不應加以設定。

對於 API，應該不需要載入如指令碼或框架之類的資源，因此建議使用 default-src「none」和 frame-ancestor「none」指定嚴格的原則。

如果為保證業務連續性，您的環境中需要一些不安全的指示詞，則請套用適合您環境的緩解控制項，並與需要這些指示詞的產品供應商合作。請注意，存在不同的 CSP 版本，且根據存取 Web 應用程式時所使用的瀏覽器版本，某些指示詞可能無法運作。