AppScan Missing or insecure "Script-Src" or "Default-src" policy in "Content-Security-Policy" header

問題

系統透過 AppScan 掃過後,其中有 Missing or insecure "Script-Src" or "Default-src" policy in "Content-Security-Policy" header 的 Issue。
但系統中的 Content-Security-Policy Header 都已設定 self 了,
怎麼還會有那個 Issue 呢?

解法

系統的 Content-Security-Policy Header 值如下,
default-src 'self'; script-src 'self'; img-src 'self'; style-src 'self';frame-src 'self'; font-src 'self';

Report 中的建議值為 none
這樣加上去不就全不能用了嗎??

後來看到 Security: HCL / IBM AppScan: Missing or insecure Content-Security-Policy header
是先將預設成 none,再針對其他項目設定 self
所以只要把原本的default-src 'self'; 改成 default-src 'none'; 就可以了。
最後的 CSP 值如下,
default-src 'none'; script-src 'self'; img-src 'self'; style-src 'self';frame-src 'self'; font-src 'self';

參考資源

Security: HCL / IBM AppScan: Missing or insecure Content-Security-Policy header

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw