检测

内容安全策略缺少“report-to”

low Web App Scanning 插件 ID 114796

语言:

简介

内容安全策略缺少“report-to”

描述

内容安全策略 (CSP) 是一种 Web 安全标准,可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

“report-to”指令让网站可以指定浏览器可发送 CSP 违规报告的报告端点。这有助于管理员监控违反策略的行为,并微调其安全策略。

尽管已在此主机上检测到内容安全策略,但系统缺少“report-to”指令,这意味着它不会自动报告潜在的违规行为。这会降低有助于识别和修复问题的安全事件的可见性。

解决方案

将“report-to”指令添加到现有的内容安全策略标头。

另见

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/report-to

插件详情

严重性: Low

ID: 114796

类型: remote

发布时间: 2025/5/22

最近更新时间: 2025/5/22

扫描模板: basic, config_audit, full, overview, pci, quick, scan

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Low

基本分数: 2.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 分数来源: Tenable

CVSS v3

风险因素: Low

基本分数: 3.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS 分数来源: Tenable

CVSS v4

风险因素: Low

Base Score: 2.1

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: Tenable

参考资料信息