偵測到寬鬆的內容安全性原則

low Web App Scanning Plugin ID 112554

語系：

概要

偵測到寬鬆的內容安全性原則

說明

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

偵測到一個或多個寬鬆的指示詞。請參閱輸出以取得詳細資料。

解決方案

可套用下列指示詞設定以擁有安全的內容安全性原則：

- 'frame-ancestors' 應設為「none」，以避免轉譯 <frame>、<iframe>、<object>、<embed> 或 <applet> 中的頁面。
- 'form-action' 應明確設定為「self」，以將表單提交限制為提供受保護頁面的來源。
- 'upgrade-insecure-requests' 和 'block-all-mixed-content' 應設定為避免在頁面上出現混合內容 (透過 HTTP 和 HTTPS 提供的 URL)。
- 任何 'unsafe-*' 指示詞皆表示該動作被視為不安全，且最好重構程式碼，以避免使用依賴於此的 HTML 事件處置程式。
- 'default-src'、'object-src'、'base-uri' 與 'script-src' 中的 data: https: http: URI 允許執行不安全的指令碼，且不應設定。
- 'script-src' 和其他 '-src' 指示詞中的 * 和 *.* 允許執行不安全的指令碼，因此應加以限制。
- 'default-src' 應明確設定為「self」或「none」，且每個來源類型所需的個別指示詞應視需要更寬鬆地設定
- 'default-src' 中的 * 和 *.* 允許多種未設定的參數預設為不安全的設定，因此不應加以設定。
- none、unsafe-eval、unsafe-inline 和 self 關鍵字需要以單引號包裝才有效
- 'object-src' 應明確設定為「none」以避免執行不安全的指令碼。

如果為保證業務連續性，您的環境中需要這些指示詞，則請套用適合您環境的減輕控制項，並與需要這些指示詞的產品供應商合作。