CSP 扫描器:OpenID Connect 会话管理端点的通配符指令警报
CSP Scanner: Wildcard Directive alert for OpenID Connect session management endpoint
我们使用 ZAP 2.8 扫描我们的 angular 使用 IdentityServer4(隐式流)实现的 Web 应用程序。
它生成了通配符指令警报(如下所示),我不确定这是否是安全问题。
如果是安全问题,我们应该怎么办? OpenID Connect 会话管理端点不是我们应用程序的一部分,它是 IdentityServer4 的内置功能。有什么建议么?谢谢
Medium(中等)CSP 扫描器:通配符指令
描述
以下指令要么允许通配符来源(或祖先),要么未定义,要么过于宽泛 defined:frame-ancestor
URL https://server103.abc.com:54231/services.identity/connect/checksession
获取方法
参数内容-安全-策略
证据默认来源'none';脚本源 'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kOV0zoeok2tiV23I='
问题是 frame-ancestors 未定义。
每:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
default-src fallback No. Not setting this allows anything.
因此,即使您确实定义了 default-src,frame-ancestors 也不会回退到它,因此由于它未指定,它会接受任何内容。
这是否是一个问题取决于您(或控制其他组件的人)。
我们使用 ZAP 2.8 扫描我们的 angular 使用 IdentityServer4(隐式流)实现的 Web 应用程序。
它生成了通配符指令警报(如下所示),我不确定这是否是安全问题。
如果是安全问题,我们应该怎么办? OpenID Connect 会话管理端点不是我们应用程序的一部分,它是 IdentityServer4 的内置功能。有什么建议么?谢谢
Medium(中等)CSP 扫描器:通配符指令 描述 以下指令要么允许通配符来源(或祖先),要么未定义,要么过于宽泛 defined:frame-ancestor
URL https://server103.abc.com:54231/services.identity/connect/checksession
获取方法
参数内容-安全-策略
证据默认来源'none';脚本源 'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kOV0zoeok2tiV23I='
问题是 frame-ancestors 未定义。
每:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
default-src fallback No. Not setting this allows anything.
因此,即使您确实定义了 default-src,frame-ancestors 也不会回退到它,因此由于它未指定,它会接受任何内容。
这是否是一个问题取决于您(或控制其他组件的人)。