缺失或宽松的 Content-Security-Policy frame-ancestors HTTP 响应头
info Nessus 插件 ID 50344
语言:
简介
远程 Web 服务器不会采取步骤来缓解特定类型的 Web 应用程序漏洞的影响。描述
某些响应中的远程 Web 服务器设置了宽松的 Content-Security-Policy (CSP) frame-ancestors 响应头,或根本没有设置。CSP frame-ancestors 头是 W3C Web Application Security Working Group 建议缓解跨站脚本和点击劫持攻击的方式。
解决方案
针对所有请求的资源设置非宽松的的 Content-Security-Policy frame-ancestors 头。另见
http://www.nessus.org/u?55aa8f57
http://www.nessus.org/u?07cc2a06
插件详情
严重性: Info
ID: 50344
文件名: http_X_Content_Security_Policy_header.nasl
版本: 1.6
类型: remote
系列: CGI abuses
发布时间: 2010/10/26
最近更新时间: 2021/1/19
支持的传感器: Nessus