Yuk*_*kun 2 content-security-policy openid-connect zap identityserver4
我们使用 ZAP 2.8 扫描使用 IdentityServer4(隐式流)实现的 Angular Web 应用程序。
它生成了通配符指令警报(如下所示),我不确定这是否是安全问题。
如果是安全问题,我们该怎么办?OpenID Connect 会话管理端点不是我们应用程序的一部分,它是 IdentityServer4 内置功能。有什么建议么?谢谢
中(中)CSP 扫描仪:通配符指令说明以下指令要么允许通配符源(或祖先),要么未定义,要么定义过于广泛:frame-ancestor
网址https://server103.abc.com:54231/services.identity/connect/checksession
方法获取
参数内容-安全-策略
证据default-src 'none'; 脚本-src 'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kOV0zoeok2tiV23I='
问题是frame-ancestors没有定义。根据: https: //developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
default-src后备 否。不设置此选项将允许任何操作。
因此,即使您确实定义了default-src,frame-ancestors也不会回退到它,因此由于未指定它会接受任何内容。
这是否是一个问题取决于您(或控制其他组件的人)。
| 归档时间: |
|
| 查看次数: |
9084 次 |
| 最近记录: |