內容安全原則缺少「Report-To」命令

low Web App Scanning Plugin ID 114796

概要

內容安全原則缺少「Report-To」命令

說明

內容安全原則 (CSP) 是一種 Web 安全標準,有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

網站可透過「report-to」指示詞指定報告端點,以供瀏覽器傳送 CSP 違規報告。這有助於系統管理員監控原則違規情況,並微調其安全原則。

雖然此主機已偵測到內容安全原則,但卻缺少「report-to」指示詞,這表示系統不會自動報告潛在的違規情況。這會降低安全事件的能見度,進而錯失及早發現並修復問題的機會。

解決方案

在現有的內容安全原則標頭中新增「report-to」指示詞。

另請參閱

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/report-to

Plugin 詳細資訊

嚴重性: Low

ID: 114796

類型: remote

已發布: 2025/5/22

已更新: 2025/5/22

掃描範本: basic, config_audit, full, overview, pci, quick, scan

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Low

基本分數: 2.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Low

基本分數: 3.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Low

Base Score: 2.1

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

參考資訊