检测到宽松的内容安全策略

low Web App Scanning 插件 ID 112554

语言：

简介

检测到宽松的内容安全策略

描述

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

检测到一个或多个宽松指令。请参阅输出以了解详情。

解决方案

可应用以下指令配置以实施安全的内容安全策略：

-“frame-ancestors”应设置为“none”以避免在 <frame>、<iframe>、<object>、<embed> 或 <applet> 中渲染页面。
- 应明确将“form-action”设置为“self”，以限制将表单提交至提供受保护页面的源。
- 应设置“upgrade-insecure-requests”和“block-all-mixed-content”以避免页面上出现混合内容（通过 HTTP 和 HTTPS 提供的 URL）。
- 任何“unsafe-*”指令均表示该操作不安全，最好重构代码以避免使用依赖于此类指令的 HTML 事件处理程序。
- data：https: http: “default-src”、“object-src”、“base-uri”和“script-src”中的 URI 允许执行不安全的脚本，因此不应设置。
-“script-src”及其他“-src”指令中的 * 和 *.* 允许执行不安全脚本，应受到限制。
- 应明确将“default-src”设置为“self”或“none”，并应根据需要对每种资源类型分别设置更为宽松的特定指令
-“default-src”中的 * 和 *.* 会导致各种未配置参数默认为不安全配置，因而不应设置。
- none、unsafe-eval、unsafe-inline 和 self 关键字需要加上单引号才有效
- 应将“object-src”明确设置为“none”以避免执行不安全的脚本。

如果这些指令在您的环境中对于业务连续性至关重要，那么请采取适合您环境的缓解控制措施，并与需要这些指令的产品供应商合作。